我支持基于 IIS 的应用程序,该应用程序扩展到 Web 和应用程序服务器。Web 和应用程序都在 IIS 后面运行。当 IIS 配置为通过 Kerberos 进行身份验证时,该应用程序支持 NTLM。到目前为止,它一直运行良好,没有出现任何故障。
现在,我试图引入 2 个 F5 交换机,1 个在网络前面,另一个在应用服务器前面。2 个 F5 实例(例如 ips 185 和 186)位于 LINUX 主机上。F5 到 F5 查找 NAT IP(例如 ips 194、195 和 196)。为包括 NAT 在内的所有 IP 创建 DNS 条目,并运行 SETSPN 命令以注册 IIS 服务帐户,使其在 HTTP、主机和域级别受信任。在 Web F5 开启且每个 Web 服务器连接到主应用服务器的情况下,当用户连接到 Web F5 域名时,信任会起作用,并且用户身份验证不会出现问题。但是,当应用负载平衡器开启且 Web 服务器指向新的 F5 应用域名时,用户会收到 401。IIS 日志显示没有经过身份验证的用户名,并显示 401 状态。Wireshark 确实显示协商票证标头已传递到系统中。
任何想法或建议都非常感谢。请提供意见。