在使用 IIS 6 的 Windows 2003 上,我们尝试设置 Kerberos 身份验证。这在某种程度上是有效的。我已经使用服务帐户设置了一个单独的应用程序池。每当我将此应用程序池与 pplinfo 服务帐户一起使用时,用户都不会通过激活目录进行身份验证。任何帮助都很好。
答案1
您可能应该检查 SPN 是否设置正确。
如果您安装了支持工具,则可以运行此命令:
Cscript "C:\Program Files\Support Tools\search.vbs" "LDAP://DC=Your,dc=Domain,dc=com" /C:"(serviceprincipalname=<YourSPNHere>)" /S:Subtree /P:DistinguishedName
<YourSPNHere>在表单中替换为您的 SPN http\YourURL,并在 LDAP 表单中输入您的域。
如果您找不到您的 SPN,那就是问题所在。
还有一个 SetSPN 命令也可以使用:
SetSPN -L <Account>
但是我始终无法让 -L 参数与帐户对象配合使用,只能与计算机对象配合使用。这实际上可能是由于我们的 AD 团队施加的权限。YMMV...