Назад | Перейти на главную страницу

Делегирование SPN прокси веб-приложения

Надеюсь, это будет быстро, но я продолжаю рисовать пробел в том, как это сделать, даже после некоторых безумных поисков в Интернете.

Недавно мне было поручено повысить отказоустойчивость нашей фермы WAP (прокси веб-приложения), поскольку мы публикуем больше приложений внутри компании и используем ADFS для SSO на основе SAML для ряда веб-приложений.

Первый ящик WAP работает абсолютно нормально (он был настроен до того, как я присоединился к организации), но второй не работает правильно. Копаясь в журналах этого WAP-сервера, я получаю такую ​​ошибку:

Web Application Proxy encountered an unexpected error while processing the request.
Error: No credentials are available in the security package
 (0x8009030e)

Поиск по этой ошибке приводит меня к мысли, что этот второй WAP не имеет необходимого делегирования для нескольких внутренних приложений, которые я пытаюсь опубликовать.

Глядя в AD, это определенно выглядит так, когда делегирование SPN показано на WAP1, но WAP2 не является доверенным (см. Изображение ниже).

Мой вопрос просто в том, как добавить весь список служб с WAP1 на WAP2, поскольку графический интерфейс не позволяет вам искать службы SPN.

Вы можете использовать любой инструмент администрирования на основе LDAP, например ldifde.exe, ldp.exe, adsiedit.msc, для редактирования учетной записи компьютера WAP и добавления атрибута msDS-AllowedToDelegateTo, чтобы иметь нужные имена участников-служб. Это, очевидно, требует соответствующих разрешений в AD для изменения объекта компьютера.

Убедитесь, что вы также обновили флаги useraccountcontrol, чтобы включить TRUSTED_TO_AUTH_FOR_DELEGATION в соответствии с https://support.microsoft.com/en-gb/help/305144/how-to-use-the-useraccountcontrol-flags-to-manipulate-user-account-pro