저는 Windows Server 2012 R2에서 Application Request Routing 3.0을 사용하여 Lync 2013 프런트 엔드 풀에서 내부 웹 서비스의 부하를 분산하고 있습니다. 나는~ 아니다이를 사용하여 외부 웹 서비스를 역방향 프록시합니다(별도의 역방향 프록시가 있음). 이 고객에게는 사용 가능한 다른 로드 밸런싱 솔루션이 없기 때문에 로드 밸런서로만 사용하고 있습니다.
모든 Lync 내부 웹 서비스 URL이 ARR 서버를 가리키도록 DNS를 구성했고, 풀에 두 개의 Lync 프런트엔드 서버를 포함하는 서버 팜을 정의했으며, 모든 HTTP 및 HTTPS 요청을 라우팅하도록 ARR을 구성했습니다. URL이나 호스트 이름에 관계없이 이 팜에 저장됩니다. ARR 서버의 IIS 기본 웹 사이트는 익명 인증용으로만 구성됩니다.
요청은 올바르게 라우팅되지만 인증된 모든 Lync 웹 서비스(많은 경우)에 대해 인증이 비참하게 실패합니다.
Kerberos 인증에 문제가 있다는 것을 확인했으며 빠른 Google 검색을 통해 Kerberos 인증을 사용하는 ARR을 통해 인증된 웹 사이트/서비스를 게시할 때 인증 문제가 있는 많은 사람들을 발견했습니다. Lync 서버의 IIS에서 "협상" 인증 방법을 수동으로 비활성화하고 "NTLM"만 남겨 두었습니다. 이 설정을 사용하면 모든 것이 잘 작동합니다. 이는 실제로 Kerberos 인증으로 인해 문제가 발생했음을 보여줍니다. 그러나 Lync 서버에서 IIS 구성을 수정하는 것은 완전히 지원되지 않으며 구성 업데이트가 발생하거나 Lync 업데이트가 설치되면 수동 변경이 재설정될 가능성이 높으므로 이 방식으로 IIS를 수동으로 구성할 수는 없습니다.
요청이 ARR 서버를 통해 라우팅될 때 내부 Lync 웹 서비스에서 인증이 작동하도록 하는 (지원되는!) 방법을 찾고 있습니다.
이것이 가능합니까? 어떻게?
답변1
많은 어려움을 겪은 끝에 우리는 ARR을 통해 Kerberos 인증을 수행할 수 있는 방법을 찾지 못했습니다. 해결 방법으로 우리는 도메인에서 ARR 서버를 제거했습니다. 이로 인해 Kerberos 인증을 모두 건너뛰고 모든 것이 즉시 작동하기 시작했습니다.
이 답변을 통해 문제가 해결되었고 ARR을 사용하여 Lync 내부 웹 서비스의 부하를 분산할 수 있게 되었기 때문에 수락합니다. 하지만 누군가 Kerberos 인증을 실제로 작동시킬 수 있는 답변을 제시한다면 기꺼이 수락하겠습니다. .
답변2
Kerberos를 사용하려면 ARR 서버에서 오는 요청 URL에 대해 lync를 실행하는 서비스 계정의 SPN을 설정해야 합니다. 다음과 같은 명령을 사용하여 서버 이름과 내부 FQDN 모두에 대해 SPN을 설정해야 합니다.
setspn -S http/<servername> domain.com\<Svc_Acct>
setspn -S http/<servername>.domain.com domain.com\<Svc_Acct>
SPN에 대한 매우 유용한 요약을 찾을 수 있습니다.여기.
또한 위임용으로 신뢰할 수 있도록 ARR 서버의 활성 디렉터리 속성을 수정해야 합니다. 이는 AD 사용자 및 컴퓨터의 ARR 서버 개체 속성에서 설정됩니다. 위임 탭에서 "모든 서비스에 대한 위임을 위해 이 컴퓨터를 신뢰합니다(Kerberos만 해당)" 라디오 버튼을 선택합니다.
위임에 대한 논의를 찾을 수 있습니다여기.