Web应用代理SPN委托

Question

希望这将是一个快速的，但我一直在空白如何做到这一点，即使在一些疯狂的网上搜索。

最近，我的任务是增加WAP (Web应用程序代理)场的弹性，因为我们在内部发布更多的应用程序，并为许多web应用程序使用基于SAML的SSO的ADFS。

第一个WAP框工作非常好(在我加入组织之前设置)，但是第二个WAP框不能正确工作。在这个WAP服务器上挖掘日志，我一直收到这个错误：

Web Application Proxy encountered an unexpected error while processing the request.
Error: No credentials are available in the security package
 (0x8009030e)

通过搜索这个错误，我相信第二个WAP没有我试图发布的几个内部应用程序所需的授权。

在AD中，这显然是WAP1上显示的SPN委托的情况，但是WAP2是不可信的(见下图)。

我的问题只是如何将WAP1上的所有服务列表添加到WAP2中，因为GUI不允许您搜索SPN服务。

Answer 1

您可以使用任何基于LDAP的管理工具，如ldifde.exe、ldp.exe、adsiedit.msc来编辑WAP计算机帐户，并添加属性，使SPN符合需要。这显然需要AD中的相关权限来修改计算机对象。

确保您还更新了useraccountcontrol标志，使其包括TRUSTED_TO_AUTH_FOR_DELEGATION (按https://support.microsoft.com/en-gb/help/305144/how-to-use-the-useraccountcontrol-flags-to-manipulate-user-account-pro )