一段时间以来,我一直在尝试对此进行诊断,不幸的是,在尝试以域用户身份连接到 sql 数据库时,我仍然遇到可怕的匿名登录问题。
采取的步骤:
- 使用委托(delegate)服务帐户创建的应用程序池
- 仅使用集成 Windows 身份验证运行的站点/虚拟目录
- 确保网站本身可以使用 kerberos KB 215383
- 添加到 IIS_WPG 组的服务帐户
- 将服务帐户添加到“本地”下的“充当操作系统的一部分” 安全设置
- 服务帐户已添加到“本地安全设置”下的“作为服务登录”
- 为网址 + 服务帐户(和 FQDN)设置的 HTTP SPN
- 为 sql box 和域 acct sql 设置的 MSSQLSvc SPN 运行为
- 信任委派服务帐户、指定服务和 SQL 服务帐户
在这一切之后,我仍然得到与我开始时完全相同的错误。用户“NT AUTHORITY\ANONYMOUS LOGON”登录失败。到目前为止,这至少使我的秃顶提前了 5 年。如果有任何关于诊断或设置的额外提示,我将不胜感激。
最佳答案
原来使用 setspn -L 发现了一些与服务帐户的冲突。使用 setspn -D 消除这些冲突解决了这个问题。
第一次做这个,Kerberos 很挑剔!和往常一样,感谢 SO 社区
关于.net - 双跃点 SQL 委托(delegate)不起作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11215982/