Kerberos 约束委派不起作用

Kerberos 约束委派不起作用

我有一个典型的双跳场景,用户->IIS->SQL。

我正在使用 IIS 7.5,它使用内核模型身份验证,因此我正在设置 IIS 服务器帐户进行委派。

如果我将其设置为“信任这台计算机委托任何服务” 在此处输入图片描述

然后它就可以正常工作了。但是,我想使用约束委派来工作。我已经为 SQL 服务器设置了 SPN(针对 SQLServer 和 SQLServer.domain.com),并使用以下方法测试了设置:委派配置,上面写着没问题,但实际上不起作用。

有谁知道在运行无约束委派时,如何查看正在使用的 SPN,以便我可以将其设置为受约束?或者还有其他解决方案吗?

答案1

我将在 IIS 计算机上启用 Kerberos 日志记录。这会显示很多有用的信息,包括 SPN 和相关错误。在 Windows Server 2008 上无需重新启动即可生效。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"LogLevel"=dword:00000001  

NetMon 可能还显示 SPN。

IIS 和 SQL 服务器是否在同一个 AD 域中?

答案2

您能发布为 SQL 设置的 SPN 吗?您是否已确认它们是在计算机帐户上设置的(如果 SQL 作为网络服务/本地系统运行)还是在服务帐户上设置的?

相关内容