sql-server - Kerberos 身份验证问题：网站在一段时间后自动停止工作

Question

有一个网站设置为在 Windows 身份验证上运行。该站点下有 3 个 Web 应用程序，每个应用程序都在自己的应用程序池中，但具有相同的域帐户。ASP.NET 模拟、使用应用程序池凭据、使用内核模式身份验证设置为 true。

1. 应用程序池帐户的网站 DNS url 的 SPN 已到位。
2. SQL 服务的 SPN 已就位。
3. 应用程序池帐户设置为委托给 SQL 服务帐户。

有了上述设置，这三个应用程序可以正常工作一段时间。然后他们自动停止连接到数据库，并出现错误“用户 NT Authority\Anonymous Logon 登录失败”。

重置IIS后，这3个应用程序停留了一段时间，然后他们又一次停止连接到数据库，一个应用程序一个接一个。诡异的？

可能是什么问题？任何指针？

Answer 1

简短的回答：

1. 创建单独的网站和应用程序池。
2. 为三个网站创建 3 个 SPN。
3. 为三个数据库创建 3 个 SPN。

长答案：

• 所有 3 个 Web 应用程序在同一个数据库服务器中都有自己的数据库。
• 为 URL 发出一个 kerberos 票证，只要只有一个应用程序被命中，它就可以正常工作。

• 但是网站下面有 3 个 Web 应用程序。因此必须创建3 个具有不同 URL和不同应用程序池的独立网站，但使用相同的应用程序池标识。

  1. 为 3 个 DNS 条目设置了 SPN。
  2. 并且还必须为 3 个数据库创建 3 个唯一的 SPN。

完成上述操作后，就没有问题了！万岁！