双跳委派:检索用户 IIS APPPOOL 时出错。基础提供程序在打开时失败。用户“域\WebVM$”登录失败。
我正在设置一个 IIS VM 服务器来访问一个单独的 SQL Server VM,两台机器都运行 Windows Server 2016 并在 Intranet 上运行。我们正在使用 Windows 身份验证,并尝试通过 IIS VM 服务器计算机上的计算机帐户来模拟用户。我们正在使用 ASP.NET Core 构建/部署 MVC IIS 位。
在配置了我能想到的所有内容并参考了几个帖子后,我遇到了上述(机器帐户登录)错误。我已经配置了以下主要项目:
- 使用 Windows 身份验证和启用 ASP.NET 模拟的网站设置,禁用所有其他身份验证类型。
- 网站配置编辑器设置“system.webServer/security/authentication/windowsAuthentication”:useKernelMode 为 True
- 运行 .NET CLR 版本“无托管代码”的应用程序池
- 使用经典托管管道模式的应用程序池
- 以 ApplicationPoolIdentity 运行的应用程序池
- 已确认在 AD 中为 IIS VM 计算机帐户注册的 HOST SPN(使用 setspn -L IISVMServer)
- 已确认在 AD 中为 SQL Server VM 计算机帐户注册的 HOST SPN
- 确认的 ServiceClass/Host:在 AD 中为 SQL Server VM 注册的端口
- 为 IIS 服务器计算机帐户注册的 SPN“信任此计算机以委派任何服务(仅限 Kerberos)
- 计划在无约束委派工作后锁定到约束委派
- 尝试使用/不使用 web.config 运行:“system.web identity impersonate="true" /system.web”
我之前发布过使用 ASP.NET Core (4.5.2) 的 Kerberos 双跃点委托,这与这篇文章间接相关。
谢谢,戴夫