Web 应用程序代理 SPN 委派

Web 应用程序代理 SPN 委派

希望这会很快完成,但即使在网上疯狂搜索之后,我仍然不知道如何做到这一点。

由于我们正在内部发布更多应用程序,并使用 ADFS 为许多 Web 应用程序提供基于 SAML 的 SSO,因此我最近的任务是增强我们的 WAP(Web 应用程序代理)场的弹性。

第一个 WAP 盒子工作正常(在我加入该组织之前设置),但第二个无法正常工作。深入研究此 WAP 服务器上的日志时,我不断收到此错误:

Web Application Proxy encountered an unexpected error while processing the request.
Error: No credentials are available in the security package
 (0x8009030e)

搜索这个错误让我相信第二个 WAP 没有我尝试发布的几个内部应用程序所需的委派。

从 AD 来看,情况确实如此,WAP1 上显示 SPN 委派,但 WAP2 不受信任(见下图)。

WAP 授权比较

我的问题是如何将 WAP1 上的所有服务列表添加到 WAP2 上,因为 GUI 不允许您搜索 SPN 服务。

答案1

您可以使用任何基于 LDAP 的管理工具(如 ldifde.exe、ldp.exe、adsiedit.msc)来编辑 WAP 计算机帐户并添加 msDS-AllowedToDelegateTo 属性以获取所需的 SPN。这显然需要 AD 中的相关权限才能修改计算机对象。

确保您还更新 useraccountcontrol 标志以包含 TRUSTED_TO_AUTH_FOR_DELEGATIONhttps://support.microsoft.com/en-gb/help/305144/how-to-use-the-useraccountcontrol-flags-to-manipulate-user-account-pro

相关内容