0

我正在配置 Windows Active Directory SSO 我根据这里的教程建立了一个实验室:https ://technet.microsoft.com/en-us/library/dn280943.aspx

设置实验室后,我使用 Internet Explorer 从外部客户端连接:

  • 基于声明的 webapp 运行良好
  • 我对基于非声明的网页有疑问(带有 Windows 身份验证的 IIS 起始页)

出现认证页面

认证页面

登录后,我被重定向到 HTTP 500 错误页面。

500 错误页面

该 URL 在内部网络中运行良好,无需使用 Web 应用代理。

有没有人可以帮助我解决这个问题?

祝你有愉快的一天

PS:您可以在下面找到实验室图和配置详细信息和屏幕截图

Windows 2012 R2 域控制器 + DNS 服务器

  • IP:192.168.22.1
  • 域:contoso.com
  • 信任计算机 WAP 用于指定 SPN 的身份验证委派 (192.168.22.15):HTTP/WAP 和 HTTP/WAP.contoso.com

Windows 2012 R2 活动目录联合服务

  • IP:192.168.22.2
  • 域:contoso.com
  • 联合 URL:adfs1.contoso.com
  • 信赖方信任:非声明感知,标识符:webapp2.contoso.com,颁发授权“允许所有用户访问”

Windows 2012 R2 IIS 服务器

  • IP:192.168.22.20
  • 非索赔感知应用程序
  • URL:webapp2.contoso.com
  • 域:contoso.com
  • SPN:HTTP/WEBAPP2 和 HTTP/WEBAPP2.contoso.com

Windows 2012 R2 Web 应用程序代理

  • IP:192.168.22.15
  • IP 外部:10.0.0.1
  • SPN:HTTP/WAP 和 HTTP/WAP.contoso.com
  • 使用非声明感知依赖方信任
  • 前端和后端 URL:webapp2.contoso.com
  • 后端 SPN:HTTP/WEBAPP2.contoso.com

外部客户

  • IP:10.0.0.2

主机文件

10.0.0.1 webapp2.contoso.com
10.0.0.1 adfs1.contoso.com
10.0.0.1 enterpriseregistration.contoso.com

图表

图表

Web 应用代理配置

Web 应用代理配置

ADFS 配置

AFDS 配置

IIS 配置

IIS 配置

客户端配置

客户端配置

直流配置

直流配置

DNS 配置

DNS 配置

4

2 回答 2

0

Technet 文章对正确的 SPN 条目有点模糊。

尝试使用以下方法检查重复项:

setspn -X

您还可以查看事件日志:

  • “远程访问”部分中的 WAP 服务器。它会让您了解通信的哪一步失败。
  • AD 服务器,首先启用 Kerberos 日志记录。

作为最后的手段,您可以使用 WireShare 或 Message Analyzer 来嗅探网络流量并查看通信有什么问题。

于 2015-08-06T07:30:25.693 回答
0

这显然是一个 WAP/kerberso 问题。您需要在 KCD 模式下重新启动 WAP 服务器。

于 2016-11-24T10:46:41.257 回答