Kerberos身份验证问题:站点在一段时间后自动停止工作

有一个网站设置为在Windows身份验证上运行 . 该站点下有3个Web应用程序,每个应用程序都在自己的应用程序池中,但具有相同的域帐户 . ASP.NET模拟,使用应用程序池凭据,使用内核模式身份验证设置为true .

网站DNS网址的

  • SPN适用于应用池帐户 .

  • SQL服务的SPN已就绪 .

  • 应用程序池帐户设置为委派给SQL服务帐户 .

有了上述设置,这三个应用程序可以正常工作 . 然后自动停止连接到数据库,并显示错误“用户NT Authority \ Anonymous Logon登录失败” .

重置IIS后,3个应用程序保持一段时间,然后再次停止连接到DB,一个接一个的应用程序 . 奇怪的?

可能是什么问题?有什么指针吗?

回答(1)

2 years ago

简答:

  • 创建单独的网站和应用程序池 .

  • 为三个网站创建3个SPN .

  • 为三个数据库创建3个SPN .

答案很长:

  • 所有3个Web应用程序在同一个DB服务器中都有自己的数据库 .

  • 为URL发行单个kerberos票证,只要只有1个应用程序被击中它就可以正常工作 .

  • 但网站下面有3个网络应用程序 . 因此,必须使用单独的应用程序池创建 3 separate websites with different URLs ,但使用相同的应用程序池标识 .

  • 为3个DNS条目设置了SPN .

  • 并且还必须为3个数据库创建3个唯一的SPN .

完成上述操作后,就没有问题了!华友世纪!