使用 IIS 6
我有默认的网站,可以在用户连接时对域进行身份验证。
我创建了第二个网站siteb,将主机(a)记录放入DNS,只要我使用匿名访问,我就可以浏览到它,当我选择Windows身份验证时,它会失败......
不知道我在这里缺少什么...
谢谢。
问问题
106 次
1 回答
0
如果您使用的是集成 Windows 身份验证,这不仅仅是 IIS。您已经在 DNS 中创建了“siteb”,它允许您的用户连接到它,所以这很好。但是,当他们的浏览器从 Active Directory 请求“siteb”的 Kerberos 票证时,AD 可能会响应它找不到“siteb”。您可以使用 Wireshark 验证这一点。
解决方法是添加“siteb”(以及您希望用户访问该站点的任何其他排列)作为 AD 中服务器计算机帐户的附加 servicePrincipalName。您可以使用“setspn.exe”实用程序来完成此操作。它应该在您的域控制器上可用。如果没有,您可以从Windows 2003 Support Tools安装它。
在 DC 上使用 setspn 添加 UPN 别名的一些示例是:
setspn.exe –A HTTP/siteb <server hostname>
setspn.exe –A HTTP/siteb.acme.com <server hostname>
这应该立即生效。最后一步是确保浏览器“信任”新网站名称。在 Internet Explorer 中,要自动发生 IWA,服务器名称应列在受信任的站点或 Intranet 区域中。
当然,您可以通过让第二个网站以相同名称在不同端口上运行来避免所有这些喧嚣,例如:http://sitea:81
于 2013-01-21T15:48:59.060 回答