在我的环境中,我有两个独立的林 FA.COM 和 FB.COM 以及两个子域 DA.FA.COM 和 DB.FB.com。DA.FA.COM 和 DB.FB.com 之间没有林信任,但有双向外部信任。
我在 DB.FB.com 上有一个 IIS 服务器(Windows 2012r2 上的 IIS8.5),我按照此处的说明进行操作https://blogs.msdn.microsoft.com/chiranth/2014/04/17/setting-up-kerberos-authentication-for-a-website-in-iis/为 IIS 服务器中的静态网站配置 Kerberos SSO,并使其可供从 DB.FB.COM 访问的客户端使用。
但是我需要扩展访问权限,以允许来自 DA.FA.COM 的用户登录到他们的客户端计算机(也在 DA.FA.COM 中)以通过 Kerberos 访问静态网站(在 DB.FB.COM 中)。目前来自 DA.FA.COM 的用户和客户端能够进行 SSO,但通过 NTLM 而不是 kerberos。(注意:我使用 Fiddler 和 Klist 来验证 SSO 是通过 Kerberos 还是 NTLM 运行的)
我的问题是,如果我让 kerberos sso 在域 DB.FB.COM 中工作,我是否需要在 IIS 服务器上进行任何进一步的配置来支持跨林 kerberos,或者这是否是 DA.FA.COM 和 DB.FB.com 中的域控制器之间的配置问题以支持跨林 kerberos?
答案1
这可能需要在 FA.COM 上配置“使用森林搜索顺序”组策略,Computer Configuration > Adminitrive Templates > System > <Kerberos or KDC>其值为FB.COM。
如果我在本地更改 Kerberos,我可以通过 Kerberos 连接到不同林中的 SQL Server 实例。我可以轻松使用它进行测试SELECT CAST(CONNECTIONPROPERTY('auth_scheme') AS NVARCHAR(MAX)) AS auth_scheme。
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh921473(v=ws.10)您可以在这里找到更为详尽的文档。
希望这对某些人仍然有用。