Достаточно хорошо известно, что IE не любит использовать Kerberos для хостов, зарегистрированных в DNS как CNAME. Что происходит, так это то, что IE разворачивается и использует базовую запись A для хоста для поиска имени участника-службы (SPN).
В тестовой сети мы можем заставить работать Kerberos, зарегистрировав SPN для записи A хоста, чтобы проверка подлинности Kerberos происходила успешно при доступе к веб-серверу через CNAME в браузере. Проверка подлинности Kerberos работает правильно при прямом доступе к веб-серверу с помощью узла записи A в URL-адресе, но по различным причинам, не зависящим от меня, желательно использовать CNAME.
В производственной сети та же самая конфигурация не работает, и я не могу понять, почему. Есть предположения?
Это веб-приложение на Java, использующее библиотеку SPNEGO, а не IIS. Проверка подлинности Kerberos работает правильно как в тестовой, так и в производственной сети (и было подтверждено, что не удается вернуться к NTLM), но доступ к CNAME работает только в тестовом режиме.
Похоже, что ключевое отличие состоит в том, что в тестовой среде CNAME регистрируется в том же домене, что и запись A (например, host.example.com - это запись A, а alias.example.com - это CNAME).
В производственной среде CNAME предназначен для домена, используемый будет использоваться, но больше не является предпочтительным доменом, где находится запись A (например, prodhost.example.com - это запись A, а prodalias.example.net - это CNAME).
Предположительно, зона DNS example.net (вместе с зоной DNS example.com) привязана к домену example.com в Active Directory, но мы еще не смогли подтвердить эту конфигурацию. Конечно, похоже, что Internet Explorer не верит, что они связаны, поэтому он даже не пытается выполнить аутентификацию Kerberos.
У кого-нибудь есть указатели / мысли по этому поводу?