У меня проблема с Kerberos при работе с SharePoint. Также обратите внимание, что я разработчик, а не сетевой парень, поэтому, если я использую неправильные термины, прошу прощения, но надеюсь, что мои намерения ясны.
У нас есть два веб-интерфейса с псевдонимом «SPPortal», а сами веб-интерфейсы - «WFE1» и «WFE2». В моей разработке мне нужно иметь возможность выполнять двойные прыжки между серверами.
Вот результат того, как я обращаюсь к серверу:
http: // spportal - сбой (NTLM)
http: / / wfe1 - успех
http: / / wfe2 - успех
http: / /sportal.fully.qualified.com - сбой (NTLM)
http: / /wfe1.fully.qualified.com - успех
http: / /wfe2.fully.qualified.com - успех
(http: // перед всем вышеперечисленным, поскольку я новый пользователь, я могу опубликовать протокол только один раз в сообщении)
У кого-нибудь есть идеи, почему псевдоним не работает? Это SP 2007, работающий под Win2k3. Не сервер домена, AD находится на отдельной машине, и, как правило, все исправления обновлены с накопительными обновлениями.
Изменить: вот что мы видим в Fiddler for the Auth
В самих веб-интерфейсах (http: / WFE1, http: / WFE2) мы ожидаем такого поведения для всех запросов:
401
No Proxy-Authenticate Header is present.
WWW-Authenticate Header is present: Negotiate
WWW-Authenticate Header is present: NTLM
затем
302
No Proxy-Authenticate Header is present.
WWW-Authenticate Header (Negotiate) appears to be a Kerberos reply:
A1 81 A0 30 81 etc...
При подключении к псевдониму (http: / spportal) это не то поведение, которое мы ожидаем или хотим:
401
No Proxy-Authenticate Header is present.
WWW-Authenticate Header is present: Negotiate
WWW-Authenticate Header is present: NTLM
затем
401
No Proxy-Authenticate Header is present.
WWW-Authenticate Header is present: Negotiate
4E 54 4C 4D 53 53 50 00 02 00 00 00 0C 00 0C 00 NTLMSSP.........
38 00 0 etc..
-[NTLM Type2: Challenge]------------------------------
Provider: NTLMSSP
Type: 2
OS Version: 5.2:3790
Flags: 0xa2898205
Unicode supported in security buffer.
Request server's authentication realm included in Type2 reply.
NTLM authentication.
Negotiate Always Sign.
Negotiate NTLM2 Key.
Target Information block provided for use in calculation of the NTLMv2 response.
Supports 56-bit encryption.
Supports 128-bit encryption.
Challenge: DE 02 etc...
затем
302
No Proxy-Authenticate Header is present.
No WWW-Authenticate Header is present.