请有人请给出一个简单,直接的方法来启用ASP.NET Kerberos Sql Server? 我们有clientMachine webServer DATABASESERVER.客户端坚持认为该站点必须提取Windows登录而不提示,因此需要Kerberos和集成身份验证
我们有clientMachine> webServer> DATABASESERVER.客户端坚持认为该站点必须提取Windows登录而不提示,因此需要Kerberos和集成身份验证.它还必须模拟用户进入数据库服务器,从而产生双跳.
我们的域名是Windows 2003域名,据我所知,这意味着Kerberos已启用.在加入域的计算机上,当登录时,kerbtray告诉我我有一大堆门票,所以它显然正在工作.
AD中的Web和数据库服务器计算机帐户都“受信任以进行委派”.
必须访问系统的AD用户帐户都“被委托信任”.
当它全部工作时,我会添加更多用户,现在两个就是它.
Sql Server实例在数据库服务器上的LocalSystem下运行,尽管我可以在网上告诉它,但这意味着它根本不需要搞乱这些SPN的东西.
然而,当我尝试使用任一用户登录时,我得到了
Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'.
表示双跳失败.在数据库服务器上的应用程序日志中,有一些来自“MSSQL”的条目说同样的事情,这进一步推动了这一点.
我真的不敢相信这有多难……我的意思是,IIS,SQL和Windows都是微软,他们不能说得更好吗???
总而言之,我有
>一个kerberos域名,
> db和Web服务器都受信任以进行委派
>用户信任委派
> AD组中的用户
> AD组作为sql登录(和db中的用户)
> IIS匿名关闭,集成打开,基本和摘要关闭
> IE启用集成功能
在第17页,您将找到Active Directory清单.按照核对表一步一步.
在第30页,您将找到客户端应用程序清单.逐步验证核对表.
第35页是中间层清单.逐步验证它.
第48页是后端核对表.逐步验证它.
如果仍有问题,该文档包含故障排除工具的详细列表(kerbtray,klist,ldifde等),详细说明如何在系统事件日志中启用日志记录和审计身份验证错误,详细解释所有错误代码.来自身份验证审核的事件日志条目,依此类推.
一旦弄清楚出了什么问题,修复起来会容易得多.