我有一个运行 IIS 的 2 节点 NLB。服务器在各个方面都是相同的。在服务器上时,我可以使用本地成员名称毫无问题地浏览到本地 Windows 集成安全站点。但是当我切换到它的集群名称时,它会提示我输入凭据。
<- 渲染得很好 <- 渲染得很好
<- 提示输入凭据
证书不是问题。非 WI-Security 站点工作得很好。
似乎它不想通过集群名称传递凭据(并且很可能直接回到我所在的同一台服务器。我确实尝试了几个没有更改的关联设置)。
感谢大家的任何想法。
缺口
问问题
748 次
1 回答
1
这与 Kerberos 委派与 Windows 集成安全性的工作方式有关。
简而言之,您需要执行以下操作:
- 在参与 NLB 群集的所有 IIS 服务器上,将运行您的网站的应用程序池的标识设置为域用户
- 确保此域帐户位于每个 Web 服务器上的 IIS_USRS 组中
为您的 NLB 群集 DNS 名称和域用户创建一个 SPN 条目。例如:
setspn -S HTTP/域\帐户名
在此之后,您应该能够访问您的站点,而无需额外提示输入凭据。此处提供了更详细的说明:https ://blogs.msdn.microsoft.com/rakkimk/2006/12/08/enabling-kerberos-delegation-on-a-nlb-scenario/
于 2017-02-14T14:53:19.550 回答