设置一个小型概念验证项目以建立从 IE8 到 IIS 7.5 再到 SQL Server 2012 的 Kerberos 连接,目前所有内容都在同一台服务器上。我正在使用带有身份验证用户身份的 Windows Auth,在本地系统下运行 IIS 应用程序池和 SQL Server,并且 SPN 都根据 DelegConfig 结帐。我无法在 IIS 和 SQL Server 之间建立 Kerberos 连接。
客户端/服务器之间的网络流量指示 Kerberos 连接,但 IIS/SQL 连接信息显示 NTLM 连接:
select s.session_id, net_transport, auth_scheme, s.host_name, s.login_name from sys.dm_exec_connections c inner join sys.dm_exec_sessions s on c.session_id = s.session_id where s.session_id = @@SPID;
我已经阅读了大多数 Kerberos 白皮书,DelegConfig 显示一切都应该正常工作,等等。我认为这是一个配置问题,我正在寻找过去,但找不到它。我在想这可能是我的域配置的问题。
另一个问题:如果 IIS 和 SQL Server 位于同一台服务器上,连接会自动恢复到 NTLM,还是我仍然可以建立 Kerberos 连接?我看到这个提到过几次。