运行应用程序池作为域名为SPN注册的gMSA后,Kerberos不再工作
问题描述:
我有一个为IIS中的Windows身份验证配置的应用程序,并且在以本地应用程序池身份运行时以前分发了Kerberos票证。运行应用程序池作为域名为SPN注册的gMSA后,Kerberos不再工作
因为我可能要运行在后面的亚马逊ELB多台服务器的应用程序,我做了以下内容:
- 注册一组托管服务帐户
aspnet_regiis -GA
- 修改了应用程序池运行作为该组管理的服务帐户
- 为FQDN添加了SPN,即
http/mysite.mydomain.test
和https/mysite.mydomain.test
,并验证它们存在
然而,当我现在尝试进行身份验证,我只得到的反应,而不是Authorization: Negotiate
Authorization: NTLM
...
我的问题是:我怎么能去有关调试为什么发生这种情况,即为什么IIS是不更长时间发回Kerberos票据?
答
您是否将SPN添加到组托管服务帐户?
检查重复的SPN? (setspn -x)
转到您网站上的Windows身份验证提供程序,并移动协议以上NTLM,或只是删除NTLM。要么它会工作,要么你会得到一个错误,这会帮助你追踪它。