Я работаю с системой, которая реализует ограниченное делегирование для перехода на два хопа из Firefox 38.2.1 (или IE 11), доступ к веб-приложению .NET 4.5.1 в сети, запущенному на Windows Server 2012 (IIS 8.5) для SQL Server 2008 R2 на другом сервере. Сценарий делегирования функционирует: учетные данные пользователя AD передаются в базу данных на сервере отдельно от веб-сервера. DC - это Windows Server 2008 R2, и мы используем SPN.Сброс к Kerberos при ведении переговоров: ошибки Kerberos для NTLM
Однако существуют такие сценарии, как отсутствие настройки конфигурации Firefox, где Kerberos завершится с ошибкой; и протокол проверки подлинности понижает до NTLM. Делегация больше не работает в течение определенного периода времени, пока не будет восстановлен протокол аутентификации Kerberos (некоторые источники говорят 5 минут, это больше похоже на 10-12 минут с нашим тестированием). Кроме того, неудавшееся делегирование влияет на всех пользователей, которые обращаются к приложению после понижения рейтинга протокола, вступает в силу до тех пор, пока Kerberos не будет автоматически восстановлен. Другими словами, их сеансы используют NTLM и блокируются от доступа к базе данных в течение 10-12 минут.
Есть ли способ с помощью кода (C#)/IIS/Firefox/IE или другого метода восстановить вручную протокол проверки подлинности на Kerberos, сократив тем самым окно, в котором используется протокол NTLM?
спасибо. # 2 в настоящее время работает как активная мера. Ссылки, которые вы предоставили, очень полезны, и я поделюсь с нашей командой! –
Hi; Это работало для вас? Если да, и мы ответили на ваш вопрос, отметьте это как таковое, которое проверит его другим в сообществе; в противном случае сообщите нам, если они есть. –
Вы предложили проактивные способы предотвращения сбоя делегирования Kerberos, но не реактивные решения для его перезагрузки, что является ядром моего вопроса. Таким образом, ваш ответ был полезен для обсуждения, но это не ответ на вопрос о том, как восстановить его, как только он потерпел неудачу. –