3

我一直在尝试诊断这个问题,不幸的是,在尝试以域用户身份连接到 sql db 时,我仍然遇到可怕的匿名登录问题。

采取的步骤:

  • 使用委托服务帐户创建的应用程序池
  • 仅使用集成 Windows 身份验证运行的站点/虚拟目录
  • 确保站点本身可以​​使用 kerberos KB 215383
  • 服务帐户添加到 IIS_WPG 组
  • 服务帐户添加到本地安全设置下的“作为操作系统的一部分”
  • 服务帐户已添加到本地安全设置下的作为服务登录
  • 为网址 + 服务帐户(和 FQDN)设置的 HTTP SPN
  • 为 sql 框和域 acct sql 设置的 MSSQLSvc SPN 运行为
  • 信任委托开启服务账户、指定服务和 sql 服务账户

毕竟,我仍然得到与开始时完全相同的错误。用户“NT AUTHORITY\ANONYMOUS LOGON”登录失败。到目前为止,这使我的秃顶至少提前了 5 年。我将非常感谢有关诊断或设置的任何其他提示。

4

2 回答 2

2

原来使用 setspn -L 发现与服务帐户有一些冲突。使用 setspn -D 消除这些冲突解决了这个问题。

第一次做这个,Kerberos 很挑剔!和往常一样,感谢 SO 社区

于 2012-06-27T14:21:53.623 回答
1

如果您使用 NTLM 身份验证,则双跳将不起作用。您可能必须安装 Kerberos。

http://blogs.msdn.com/b/besidethepoint/archive/2010/05/09/double-hop-authentication-why-ntlm-fails-and-kerberos-works.aspx

于 2012-06-26T21:21:16.650 回答