我正在尝试整理与 SQL 框对话的 IIS 框的 Windows Auth 委派,该委派应该通过用户凭据传递。我详细介绍了此双跳场景的配置和以下配置:
问题描述
当我以以下方式访问网站时http://本地主机:8085,有用. 使用机器的 hosthaeder 时,它不会 - 给出错误:
Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'
在 SQL 框的事件日志中,还有详细信息:
Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'. Reason: Token-based server access validation failed with an infrastructure error. Check for previous errors.
我正在努力查明链条的哪个部分出现故障,并恢复到匿名登录。
配置如下:
大多关注本指南。即设置:
- 受信任的 IIS 服务帐户(或其背后的组)
- 计算机受信任以进行委派
- 某些 GPO 项目
设置如下:
- 连接 IE6 的客户端计算机
- 一个装有 IIS6 的 Windows Server 2003 机箱。
- 设置为仅使用集成身份验证。
- 该应用程序是 ASP Classic。
- SQL 2008 盒子。
在 IIS 中,它正在运行:
- 应用程序池 domain\xxservice
- SPN 设置为:
- http/机器名:8085
- http/机器名称.[FQDN]:8085
并且 SQL 的 SPN 是根据 SQL 框名称 + SQL 服务帐户设置的。
用户 + 服务帐户都具有足够的权限,并且我已确认当应用程序针对http://本地主机标题
最难的部分
... 正在看到失败的点。
目前我一直在谷歌搜索,再进一步,谷歌搜索,再进一步。我试图理解事件发生的整个过程。
关于我需要在审计跟踪中看到什么以及如何看到它,有什么建议吗?我主要关注事件日志,并尝试过 SetSPN -L 和 KerbTray 的一些功能。(不过,这并不理想……)
当然,如果能提供关于我在配置这两个盒子时可能遗漏了什么的建议,我将非常感激。
谢谢。
答案1
您是否已按照以下说明在客户端上配置 IE 的注册表项http://support.microsoft.com/default.aspx?scid=kb;EN-US;899417。 看http://blogs.technet.com/b/askds/archive/2009/06/22/internet-explorer-behaviors-with-kerberos-authentication.aspx。我还建议您进行网络跟踪,以查看 Web 应用程序本身的 Kerberos 身份验证是否正常运行。
使用http://blogs.technet.com/b/askds/archive/tags/kerberos/作为学习其工作原理的主要资源。我还建议http://blogs.msdn.com/b/spatdsg/archive/2007/11/14/kerberos-delegation-end-to-end-part-i.aspx以及 spat 博客中的其他部分。