我们有基于 ASP .Net 2.0 构建的内部 IIS 应用程序,运行在 IIS 7.5-Server 2008 R2 x64 上。后端是 SQL 2005。它使用 Kerberos(Windows 集成)身份验证。有时,当新服务器投入生产或站点移动到其他服务器时,我们需要更改将站点名称映射到服务器的 SPN。
最近的更改要求我重新启动 IIS 和 SQL 服务器以使 SPN 更改生效。重新启动之前,用户在 IE 中收到身份验证错误。
有没有一种干扰较少的方法使 SPN 更改生效?这些是 24/7 全天候生产站点,因此服务重启和/或服务器重启很困难。
答案1
您可以在每个服务器实例上使用 klist 来清除缓存的票证:
http://technet.microsoft.com/en-us/library/hh134826.aspx
我的问题是客户端的缓存票证,这也会导致问题。