当社には、Windows 認証を使用する IIS ホスト サイトがいくつかあります。一部のユーザーは、サイトの 1 つにはログオンできますが、別のサイトでは認証のチャレンジが終わらないという状況に陥っています (2 つ目のサイトは最初のサイトの iframe で使用されています)。ログオンできないユーザーは Kerberos 認証 (その他のユーザーは NTLM) を使用していることがわかりました。すべてのサイトで同じ認証設定が使用されています (useAppPoolCredentials が true に設定されています)。そのため、ユーザーは 1 つのサイトにアクセスできますが、同じ設定では 2 つ目のサイトにはアクセスできません。アプリケーション プール ID ユーザーは、管理者グループと IIS_IUSRS グループに属しています。また、ドメイン ユーザー アカウントを使用して VM からサイトにログオンしようとしましたが、Kerberos が原因で、認証プロンプトが終わらないという状況に陥りました。Chiranth Ramaswamy の IIS 認証に関する記事を読みましたが、残念ながら問題の解決策を見つけることができませんでした。この問題を解決する方法はありますか?
編集: 同じサイトと設定を持つ 2 番目のサーバーもあります。
編集2: 同じドメインユーザーアカウントを使用している場合は、ログオンできることがわかりました。しないログイン時にドメインを記入します。つまり、「UserName」は機能しますが、「DomainName\UserName」は機能しません。
答え1
トラブルシューティングすべき点がかなりあります。Kerb の設定方法、他にどのようなサイトがあるのか、使用されている URL など、より詳しい情報が役立つと思います。
要するに、Kerb は壊れていると思います。そして、これを機能させるには、名前の代わりに IP アドレスを使用できる可能性があります。(Kerb は、IP アドレスではなく名前を使用する場合にのみ機能します)。
アプリケーション プール アカウント (ちなみに、管理者になることはほとんどありません) のコンテキストでチケットをデコードしていないのではないかと思います。
これは、SPN が重複しているか、Kerb のその他の部分が壊れていることが原因である可能性があります。
また、PAC スクリプトやゾーン設定ではなく、「統合 Windows 認証を有効にする」などのクライアント側のブラウザ設定である可能性もあります。
ということで!買い物リスト:
IE を使用している場合は、サイトが読み込まれるゾーンを確認してください。
IE を使用している場合は、統合 Windows を有効にする設定をチェックしてください。
壊れたクライアントを再起動し(少なくとも
klist purge)、クライアント側から失敗した接続のnetmonまたはwiresharkトレースを取得します。これにより、KDC応答の問題、つまり返されるKerberosエラーが特定され、Kerbを壊している原因の手がかりが得られます。useAppPoolCredentials を使用している場合は、SetSPN を使用している可能性があります。サイト名に関係するすべての SPN の重複を確認してください。
最後に、委任を使用していない場合は、SPN オーバーライドが設定されていない場合、既定ではシステム アカウントがすべてのアプリケーション プールのチケットをデコードするため、useAppPoolCredentials を削除することを検討してください。
答え2
サーバーを再起動した後、useApplicationCredentials が false に戻っていることがわかりました。これを true に変更し、IIS を再起動しました。その後、その問題は発生しなくなりました。しかし、偶然ではないかどうかはわかりません。他のサーバーでも同じ問題が発生しています。同じ IIS 設定のマシンが 4 台あります。2 台は Kerberos 経由で正しく動作せず、2 台は動作します。いずれにも SPN は構成されていませんでした。また、動作する 2 台では useApplicationCredentials が false になっています。
同じ方法を試してみます。再起動して、useApplicationCredentials を true に設定し、そうでない場合は iisreset を実行します。しかし、これは問題ではないと確信しています。SPN が設定されていないのに Kerberos が機能する理由がわかりません。