Estoy usando Application Request Routing 3.0 en Windows Server 2012 R2 para equilibrar la carga de los servicios web internos en un grupo de aplicaciones para usuario de Lync 2013; Soynousándolo para revertir el proxy de los servicios web externos (hay un proxy inverso separado para eso), solo lo estoy usando como equilibrador de carga porque este cliente no tiene ninguna otra solución de equilibrio de carga disponible.
Configuré DNS para que apunten todas las URL de los servicios web internos de Lync al servidor ARR, definí una granja de servidores que incluye los dos servidores front-end de Lync en el grupo y configuré ARR para enrutar todas las solicitudes HTTP y HTTPS. a esta granja, independientemente de la URL o el nombre de host; El sitio web predeterminado en IIS en el servidor ARR está configurado solo para autenticación anónima.
Las solicitudes se enrutan correctamente, pero para todos los servicios web de Lync autenticados (que son muchos), la autenticación falla estrepitosamente.
He determinado que el problema radica en la autenticación Kerberos, y una búsqueda rápida en Google encontró que muchas personas tenían problemas de autenticación al publicar sitios/servicios web autenticados a través de ARR con autenticación Kerberos; Intenté deshabilitar manualmente el método de autenticación "negociar" en IIS en los servidores Lync, dejando solo "NTLM", y con esta configuración todo funciona bien; De hecho, esto muestra que el problema en realidad es causado por la autenticación Kerberos. Sin embargo, no se admite en absoluto modificar la configuración de IIS en servidores Lync y es probable que cualquier cambio manual se restablezca cuando se realiza una actualización de configuración o se instala una actualización de Lync, por lo que no puedo configurar IIS manualmente de esta manera.
Estoy buscando una forma (¡compatible!) de hacer que la autenticación funcione en los servicios web internos de Lync cuando las solicitudes se enrutan a través de un servidor ARR.
Se puede hacer esto? ¿Cómo?
Respuesta1
Después de mucho luchar, no encontramos manera de hacer que la autenticación Kerberos funcione a través de ARR; Como solución alternativa, simplemente eliminamos el servidor ARR del dominio: esto lo obligó a omitir la autenticación Kerberos por completo y todo comenzó a funcionar al instante.
Acepto esta respuesta porque solucionó el problema y nos permitió usar ARR para equilibrar la carga de los servicios web internos de Lync, pero si a alguien se le ocurre una respuesta que realmente pueda hacer que la autenticación Kerberos funcione, estaré encantado de aceptarla. .
Respuesta2
Kerberos requiere que el SPN de la cuenta de servicio que ejecuta lync esté configurado para la URL de solicitud proveniente de su servidor ARR. Necesitará configurar el SPN tanto para el nombre del servidor como para el FQDN interno usando un comando como:
setspn -S http/<servername> domain.com\<Svc_Acct>
setspn -S http/<servername>.domain.com domain.com\<Svc_Acct>
Se puede encontrar un muy buen resumen de SPN.aquí.
Además, deberá modificar las propiedades del directorio activo del servidor ARR para que sea confiable para la delegación. Esto se establece desde las propiedades del objeto del servidor ARR en Usuarios y computadoras de AD. En la pestaña Delegación, marque el botón de opción "Confiar en esta computadora para delegar a cualquier servicio (solo Kerberos)".
Se puede encontrar una discusión sobre la delegación.aquí.