Интегрированная защита NLB IIS запрашивает учетные данные?

Question

У меня есть 2 узла NLB, работающий с IIS. Серверы идентичны во всех отношениях. Когда на сервере я могу без проблем использовать локальный сайт Windows Integrated Security без локального имени. Но когда я переключаюсь на это имя кластера, он запрашивает у меня учетные данные.

< - Оказывает просто отлично < - Оказывает просто отлично

< - Запрос учетных данных

сертификаты не являются проблемой. Сайты без WI-Security работают нормально.

Похоже, что он не хочет передавать учетные данные по имени кластера (и, скорее всего, прямо на том же сервере, на котором я нахожусь. Я попробовал пару настроек сродства без изменений).

Спасибо всем за любые идеи.

Ник

Answer 1

Это связано с тем, как делегирование Kerberos работает с Windows Integrated Security.

Короче говоря, вот что вам нужно сделать:

• Установите отождествлять пула приложений работает ваш сайт, чтобы пользователь домена, на всех IIS серверов, участвующих в кластере NLB
• Обеспечить эта учетная запись домена находится в группе IIS_USRS на каждом веб-сервере.

• Создайте запись SPN для имени DNS-сервера NLB и пользователя домена. Например:

  Setspn -S HTTP/домен \ AccountName

После этого, вы должны быть в состоянии получить доступ к сайту без дополнительного запроса учетных данных. Более подробное объяснение можно найти здесь: https://blogs.msdn.microsoft.com/rakkimk/2006/12/08/enabling-kerberos-delegation-on-a-nlb-scenario/