我已经被这个问题困扰了一段时间了,我开始迫切地想要找到解决方案。
这是我的问题:我设置了一个通过 Microsoft ISA 发布的 SAP Enterprise Portal。ISA 用于通过 HTTPS 发布页面(SAP EP 上仅限 HTTP),侦听器配置为匿名,客户端可以直接进行身份验证。然后 SAP EP 处理身份验证。
我们决定引入 Kerberos 来简化连接。在 SAP 方面没有问题,SPNego Wizard,重新启动实例即可。在 AD 方面,我们创建了 SPN 并将其分配给 SAP 中指定的服务帐户。
嗯,当您直接处理 SAP EP 时,它运行良好(来自 IE、Firefox 和 Chrome 的 HTTP 和 HTTPS)。但是,当我们尝试通过 Microsoft TMG(新 ISA)使用与之前相同的设置(侦听器和客户端上没有身份验证)执行此操作时,它可以在 Firefox 和 Chrome 上使用 HTTPS 和 HTTP 时正常工作,但在 IE 上它仅在 HTTP 上工作。
IE 或 TMG 似乎与 TMG 完成的 HTTPS -> HTTP 隧道混淆了。我使用 Fiddler 进行了检查,IE 收到了 Negotiate 的 401 并发布了 KRB 票证,但不知何故失败了,并返回到 SAP 的身份验证页面。
仅供参考:SPN 是正确的,IE 可以正确获取它,但是有些东西无法正常滚动。
答案1
答案在这里:http://support.microsoft.com/kb/951509/
干杯,JD。