Назад | Перейти на главную страницу

Сортировка делегации

Я пытаюсь разобраться с делегированием Windows Auth для ящика IIS, говорящего с ящиком SQL, который должен проходить через учетные данные пользователей. Я подробно описал конфигурацию этого сценария с двойным скачком и конфигурацию ниже:

Описание проблемы

Когда я захожу на сайт как http: // локальный: 8085, оно работает. С hosthaeder машины этого не происходит - возникает ошибка:

Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'

В журнале событий для поля SQL также есть детали:

Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'. Reason: Token-based server access validation failed with an infrastructure error. Check for previous errors.

Я изо всех сил пытаюсь определить, какая часть цепочки дает сбой, и возвращаюсь к анонимному входу в систему.

Конфигурация такая:

В основном следующие это руководство. Что именно устанавливает:

Учетная запись службы IIS (или стоящая за ней группа) доверенная для делегирования
Машина доверена для делегирования
Некоторые элементы GPO

Настройка такова:

Клиентская машина, подключающаяся к IE6
Коробка Windows Server 2003 с IIS6.
- Установите для использования только встроенную аутентификацию.
- Это приложение ASP Classic.
Коробка SQL 2008.

В IIS он работает:

Домен пула приложений \ xxservice
SPN, установленные для:
- http / machinename: 8085
- http / machinename. [FQDN]: 8085

И у SQL есть свои SPN, установленные против имени ящика SQL + учетной записи службы SQL.

Учетная запись пользователя + службы имеет достаточные разрешения, и я подтвердил, что она подключается к учетным данным пользователя, когда приложение запускается против http: // localhost заголовок

Самая тяжелая часть

... Видит точку, в которой терпит неудачу.

В настоящее время я гуглил, делал еще один шаг, гуглил, затем еще один шаг. Я пытаюсь понять цепочку событий по ходу дела.

Есть ли какие-либо предложения относительно того, что мне нужно видеть в контрольном журнале и как я могу это увидеть? Я в основном живу в журнале событий и пробовал использовать SetSPN -L и KerbTray. (Тем не менее, это не идеально ...)

И, конечно же, мы будем очень признательны за предложения относительно того, чего мне, вероятно, не хватает в конфигурации этих двух коробок.

Спасибо.

У вас есть ключ reg для IE, настроенный на клиенте в соответствии с http://support.microsoft.com/default.aspx?scid=kb;EN-US;899417. Видеть http://blogs.technet.com/b/askds/archive/2009/06/22/internet-explorer-behaviors-with-kerberos-authentication.aspx. Я также рекомендую вам выполнить трассировку сети, чтобы увидеть, работает ли Kerberos Auth для самого веб-приложения.

Использовать http://blogs.technet.com/b/askds/archive/tags/kerberos/ в качестве основного ресурса для изучения того, как это работает. Я также рекомендую http://blogs.msdn.com/b/spatdsg/archive/2007/11/14/kerberos-delegation-end-to-end-part-i.aspx и другие части в блоге спата.