Проблема с двойным хоппером Kerberos с веб-приложением ASP.NET для sharepoint

Question

Мне нужна ваша помощь с проблемой двойного перерыва Kerberos У меня есть ... После прочтения многих сообщений в Интернете по этой теме я до сих пор не могу понять, что не так, это моя настройка. Здесь установка я использую:

• Клиент PC
• веб-сервер, веб-службы просто ASMX
• веб-сервер хостинг SharePoint 2013

see diagram

Все серверы доверенный для делегирование, все находятся в одном домене (без леса), и никакая балансировка нагрузки не используется. Каждый веб-сервер использует IIS 7.5, и каждый пул приложений настроен с учетной записью службы домена. Каждая учетная запись службы доверена для делегирования. Важное примечание: оба веб-сервисы доступны через записи DNS (HOST записи):

• http://mywebservice/ для среднего сервера
• http://sharepoint/ для сервера Sharepoint

Я также настроить IIS на веб-сайте сервер (сервер 1), чтобы использовать учетные данные пула приложений «useAppPoolCredentials = True» и оставил ядро ​​включенным.

До сих пор, у меня есть следующие настройки СПбОЕ:

• Сервер 1: HOST/Сервер1; HOST/Server1.domain.com; HTTP/mywebserice; HTTP/mywebservice.domain.com
• Сервер 2: HOST/Server2; HOST/Server2.domain.com
• Service1:
• Service2:

Я пробовал много перестановок Betweens различные имена SPN не повезло так далеко :(

На данный момент, я могу подключиться на веб-сервис (Server1) с помощью Kerberos, а затем «NT AUTHORITY \ ANONYMOUS LOGON» передается на сервер Sharepoint.

Может кто-нибудь помочь мне понять, что это правильная установка?

Спасибо за помощь.

Answer 1

Мне, наконец, удалось заставить его работать. Для этого я использовал веб-приложение DelegConfig (по brian-murphy-booth) available here. Он подтвердил, что моя установка была изначально неправильной и помогла мне определить, что нужно изменить.

Вот моя последняя настройка - see diagram: Сервер службы

• Web: Только SPN для HOTS/Сервер1 + Доверенный для делегирования Kerberos
• Sharepoint сервер: Только SPN для HOST/Сервер2 + Доверенный для делегирования Kerberos
• Обслуживание счета 1 (для обслуживания веб-приложение, бассейн): Добавлен SPN для HTTP/MyWebservice
• учетной записи службы 2 (для Sharepoint пула приложений): Добавлена ​​SPN для HTTP/SharePoint

Несколько вещей, которые вы должны быть осторожны с здесь:

1. Если вы используете записи DNS, зарегистрировать SPN, против имени DNS, а не IP
2. Убедитесь, что ваши записи DNS являются записями типа «HOST (A)», а не «CNAME»
3. Всегда регистрируйте SPN против простого имени (т.е. HTTP/sharepoint) и полное доменное имя (т. Е. HTTP/sharepoint.domain.com)
4. Оставьте некоторое время для репликации AD для всех контроллеров домена (если применимо). Это было мое падение! Я был слишком быстр, чтобы протестировать после смены, и он никогда не работал ... Ожидание через 15-20 минут после изменения помогло мне точно настроить мои настройки и точно понять, что было не так
5. Удостоверьтесь, что у вас нет SPN в двух экземплярах! Чтобы проверить, откройте командную строку и запустите команду «setspn -x». Он будет перечислять все дублирующие SPN в вашем AD.

Я знаю, что есть много сообщений по этой теме, но ни одна из них на самом деле не описывает на одной диаграмме идеальную настройку для данной конфигурации. Поэтому я решил опубликовать этот ответ на свой вопрос; надеясь, что это поможет кому-то с этим кошмаром проблемы Kerberos с двойным прыжком.

Большое спасибо за стену Brian-murphy за его замечательный инструмент! Если вы прочтете это, вы - мой спаситель!