Я поддерживаю приложение на основе IIS, масштабируемое до веб-серверов и серверов приложений. И веб, и приложения работают за IIS. Приложение поддерживает NTLM, если IIS настроен для проверки подлинности через Kerberos. Работает пока без сбоев.
Теперь я пытаюсь ввести 2 переключателя F5, один перед веб-сайтом, а другой перед серверами приложений. 2 экземпляра F5 (например, ips 185 и 186) находятся на хосте LINUX. С F5 по F5 выполняется поиск IP-адреса NAT (например, IP-адреса 194, 195 и 196). Создал запись DNS для всех IP-адресов, включая NAT, и выполнил команду SETSPN, чтобы зарегистрировать учетную запись службы IIS в качестве доверенной на уровне HTTP, HOST и домена. Когда веб-F5 включен и каждый веб-сервер подключается к главному серверу приложений, когда пользователь подключается к доменному имени веб-F5, доверие работает, и пользователь проходит проверку подлинности без проблем. Однако, когда балансировщик нагрузки приложения включен и веб-серверы указывают на новое доменное имя приложения F5, пользователь получает 401. Журнал IIS не показывает аутентифицированного имени пользователя и показывает статус 401. Wireshark действительно показывает заголовок билета согласования, переданный в систему.
Мы очень ценим любые идеи или предложения. Пожалуйста посоветуй.
Microsoft говорит, что это невозможно. Я недавно спросил похожий, но более общий вопрос.