1

我需要你的帮助来解决我遇到的 Kerberos 双跳问题……在网上阅读了许多关于该主题的帖子后,我仍然无法理解我的设置有什么问题。这是我使用的设置:

  • 客户端电脑
  • 托管简单 ASMX Web 服务的 Web 服务器
  • 托管 SharePoint 2013 的 Web 服务器

见图表

所有服务器都受委派信任,每个人都在同一个域中(没有林),并且不使用负载平衡。每个 Web 服务器都使用 IIS 7.5,每个应用程序池都设置有域服务帐户。每个服务帐户都受信任以进行委派。重要提示:这两个 Web 服务都通过 DNS 条目(HOST 记录)访问:

我还在 Web 服务器(服务器 1)上设置 IIS 以使用应用程序池凭据“useAppPoolCredentials=True”并保持内核打开。

到目前为止,我有以下 SPN 设置:

  • 服务器 1:主机/服务器 1;主机/Server1.domain.com;HTTP/我的网络服务;HTTP/mywebservice.domain.com
  • 服务器 2:主机/服务器 2;主机/Server2.domain.com
  • 服务1:
  • 服务2:

到目前为止,我已经尝试了各种 SPN 之间的许多排列,但没有运气:(

目前,我可以使用 Kerberos 连接到 Web 服务(Server1),但随后“NT AUTHORITY\ANONYMOUS LOGON”被传递到 Sharepoint 服务器。

谁能帮我弄清楚正确的设置是什么?

谢谢你的帮助。

4

1 回答 1

2

我终于设法让它工作了。为此,我使用了 DelegConfig Web 应用程序(由 brian-murphy-booth提供)here。它确认我的设置最初不正确,并帮助我确定需要更改的内容。

这是我的最终设置 -参见图表

  • Web 服务服务器:仅适用于 HOTS/Server1 的 SPN + 受信任的 Kerberos 委派
  • Sharepoint 服务器:仅适用于 HOST/Server2 的 SPN + 受信任的 Kerberos 委派
  • 服务帐户 1(用于 Web 服务应用程序池):为 HTTP/mywebservice 添加了 SPN
  • 服务帐户 2(用于 sharepoint 应用程序池):为 HTTP/sharepoint 添加了 SPN

这里有几件事需要注意:

  1. 如果您使用 DNS 条目,请根据 DNS 名称而不是 IP 注册 SPN
  2. 确保您的 DNS 条目是“HOST (A)”类型的记录,而不是“CNAME”类型的记录
  3. 始终针对简单名称(即 HTTP/sharepoint)和 FQDN(即 HTTP/sharepoint.domain.com)注册 SPN
  4. 留一些时间将 AD 更改复制到所有域控制器(如果适用) - 那是我的失败!更改后我测试得太快了,但它从来没有工作过……更改后等待 15-20 分钟有助于我微调设置并准确了解问题所在
  5. 确保您没有重复的 SPN!要检查,请打开命令提示符并运行命令“setspn -x”。它将列出您的 AD 中所有重复的 SPN。

我知道有很多关于这个主题的帖子,但没有一个实际上在一张图中描述了给定配置的理想设置。所以我想我会把这个答案发布到我自己的问题上;希望它能帮助解决 Kerberos 双跳问题的噩梦。

非常感谢 brian-murphy-booth 提供的出色工具!如果你读到这篇文章,你就是我的救星!

于 2016-04-11T13:43:01.507 回答