運行應用程序池作爲域名爲SPN註冊的gMSA後，Kerberos不再工作

Question

我有一個爲IIS中的Windows身份驗證配置的應用程序，並且在以本地應用程序池身份運行時以前分發了Kerberos票證。

因爲我可能要運行在後面的亞馬遜ELB多臺服務器的應用程序，我做了以下內容：

• 註冊一組託管服務帳戶
• aspnet_regiis -GA
• 修改了應用程序池運行作爲該組管理的服務帳戶
• 爲FQDN添加了SPN，即http/mysite.mydomain.test和https/mysite.mydomain.test，並驗證它們存在

然而，當我現在嘗試進行身份驗證，我只得到的反應，而不是Authorization: NegotiateAuthorization: NTLM ...

我的問題是：我怎麼能去有關調試爲什麼發生這種情況，即爲什麼IIS是不更長時間發回Kerberos票據？

Answer 1

您是否將SPN添加到組託管服務帳戶？

檢查重複的SPN？ （setspn -x）

轉到您網站上的Windows身份驗證提供程序，並移動協議以上NTLM，或只是刪除NTLM。要麼它會工作，要麼你會得到一個錯誤，這會幫助你追蹤它。