У меня есть сайт ASP.NET 2.0, настроенный для выполнения встроенной безопасности Windows с использованием делегирования Kerberos. Серверы, включая DC, работают под управлением Windows 2003, а делегирование повышено до уровня Windows 2003.
Кстати, все серверы настроены на EST
Аутентификация работает хорошо, и внезапно сервер записывает предупреждение LsaSrv (идентификатор события 40960) в системный журнал с жалобой на разницу во времени между серверами. За это время клиенты получают сообщение 401.2 на все запросы. Через 20-30 минут авторизация начинает работать "волшебно"
Я провел трассировку wirehark и fiddler и обнаружил, что метка времени в заголовке ответа находится в GMT, даже если сервер настроен в EST. Я не уверен, как это принято. Любые идеи?
Любые другие предложения приветствуются.
GMT и EST, скорее всего, не проблема.
Kerberos требует, чтобы у всех участников были часы, которые находились в пределах 5 минут друг от друга. Я подозреваю, что вам нужно убедиться, что у всех серверов и клиентов есть время, которое находится в этом окне.
Лично я использую NTP даже в Windows. Хотя, вероятно, существует «способ окна».
Спасибо за руководство. Мы начали разговор с Microsoft, и они смогли сузить круг вопросов до ошибки истечения срока действия билета Kerberos. Звонок был открыт 2 октября, и было предоставлено исправление. Пока о проблемах не сообщалось.
Ниже ссылка поддержки,
http://support.microsoft.com/default.aspx?scid=kb;EN-US;979159
перейти к запуску типа regedit -HKEY_USERS.DEFAULT \ Control Panel \ International
при изменении правой стороны sShortDate изменится на dd-MM-yyyy
перезапустить IIS
Kerberos чрезвычайно чувствителен ко времени - вам необходимо убедиться, что время на сервере IIS совпадает со временем вашего контроллера домена.
Эта статья Как работает служба времени Windows имеет базовый обзор.
Во-первых, вам нужно убедиться, что время вашего эмулятора PDC правильное. Как настроить авторитетный сервер времени в Windows Server
Затем на сервере IIS настройте его на синхронизацию с доменом: Настройте клиентский компьютер для автоматической синхронизации времени домена.
Это должно сработать.