在 Active Directory 中设置 Kerberos 约束委派存在一个小问题。
该方案的工作原理如下: 1. 客户端工作站。 2. 安装了 IIS 的 Windows 2008 Ent 的 Web 服务器(iis.domain.lab)。 是前端服务器,W3SVC 服务在 LocalSystem 帐户下启动。 3. 基于 Windows Server 2008 Ent 的应用程序服务器(app.domain.lab)。 是后端服务器,应用程序服务在域帐户 svc_app_usr 上运行 4. 域控制器(dc.domain.lab)
IIS 服务器上托管着最终用户在浏览器中打开的特定应用程序。由于 IIS 服务器应用程序位于不同的服务器上 - 我需要配置受限的 Kerberos 委派。
我做了以下事情:1. 对于 svc_app_usr 注册的 SPN 类型为 SERVICE_NAME/APP 和 SERVICE_NAME/APP.domain.lab 2. 要设置服务器 iis 约束委派 Kerberos,请使用域帐户 svc_app_usr
但存在以下问题:当我尝试通过浏览器打开应用程序时 - 它没有发生。使用 Wireshark 后,我看到服务器是 IIS,TGS 请求域控制器收到响应错误:
KRB5KDC_ERR_BADOPTION NT 状态:STATUS_NO_MATCH NT 状态:STATUS_NO_MATCH (0xc0000272) 未知:0x00000000 未知:0x00000003
请告诉我,我哪里做错了?