У меня похожая проблема, описанная здесь: ARR 3 IIS 7.5 Проверка подлинности Windows не работает
К сожалению, это решение не работает на наших серверах.
В нашей тестовой среде у нас есть сервер ARR (Win 2012, IIS 8.0) и веб-сервер (Win 2008R2). Веб-приложение на веб-сервере требует проверки подлинности Windows, и оно уже работает, когда клиент использует NTLM в качестве ответа на запрос согласования. Но когда клиент отправляет билет Kerberos, запрос не пересылается на веб-сервер, а вместо этого отвечает сервером ARR сообщением HTTP 401.
Я уже испробовал множество рекомендаций, но безуспешно. Либо аутентификация не выполняется на ARR или на веб-сервере.
У нас был запущен ARR 2.5, но я уже безуспешно тестировал ARR 3.0.
Я также настроил записи SPN для ARR и веб-сервера (http://blogs.iis.net/brian-murphy-booth/archive/2007/03/09/the-biggest-mistake-serviceprincipalname-s.aspx). И попытался использовать одни и те же учетные записи пользователей для пула приложений на ARR и веб-сервере.
------- РЕДАКТИРОВАТЬ-------
Проблема всегда в том, что сервер ARR реагирует на заголовок согласования, даже если ARR настроен на анонимный.
Кстати: KB 2732764 был установлен давно
Наконец-то я нашел для нас решение:
Поскольку у нас нет требований для «многоэлементной» аутентификации (= kerberos), я смог принудительно использовать NTLM. На веб-сервере под аутентификацией (сайт) я сменил поставщиков для проверки подлинности Windows и удалил все, кроме NTLM. Таким образом, NTLM - единственный доступный способ аутентификации.
В ARR я вернул все к исходным настройкам и включил только анонимный доступ. Затем ARR сможет передать аутентификацию на веб-сервер.
На мой взгляд, у Microsoft есть ошибка в обработке Kerberos, и она не зависит от того, выполняется ли аутентификация в ядре или ARR.