SPN，Kerberos和IIS

Question

我有一个MyWebServer的dns别名，它指向运行iis 7.5的win 2008 r2盒的ip。我为域用户设置了正确的HTTP，该域用户有权使用kerberos将指定的HTTP set服务委托给指定的HTTP set服务。

IIS在顶层配置为使用内核模式auth和useAppPoolCredentials。

iis框上的主要应用程序运行在一个具有我的域用户身份的应用程序池中。该应用程序按预期工作，发出正确的kerberos票证，并且应用程序能够完美地委派windows用户的身份。

然而，也有其他应用程序使用相同的IIS网站，但使用不同的应用程序池作为网络服务运行。所有应用程序都被设置为只使用windows身份验证(匿名关闭)。

每当我在IE中点击其中一个应用程序时，我就会被提示登录。输入正确的域凭据将导致3次登录尝试后出现401错误。IE承认and服务器位于本地Intranet区域，并且IE被配置为自动登录到此区域中的服务器。我也得到了一个有效的kerberos票证时，击中这些应用程序，即使他们自己将永远不需要票。

现在，当我将应用程序池标识设置为其他应用程序的域用户时，并执行IISreset.应用程序按预期工作。

现在我的问题是..。这是否如预期/打算？？

我不能在使用域用户帐户的SPN设置的IIS网站中运行各种应用程序吗？我以前有过这样的混合网站，使用HTTP/别名机器spn工作，但是到目前为止，HTTP/别名域/用户设置还很困难。

编辑:布伦特的回答是正确的。我发现微软的这篇文章阐述得很轻巧。http://support.microsoft.com/kb/871179

服务的SPN只能与一个帐户相关联。因此，如果使用此建议的解决方案，在不同域用户帐户下运行的任何其他应用程序池都不能仅与集成Windows身份验证一起使用。

若要解决此行为，如果您有多个运行在不同域用户帐户下的应用程序池，如果只想使用集成Windows身份验证，则必须强制IIS使用NTLM作为身份验证机制。

Answer 1

听起来不错，网络服务帐户没有对您的域的权限，因此它无法验证.至少听起来像它在做什么。

一旦您弹出域凭据，应用程序池现在在对AD进行调用时拥有用户的权限，在这种情况下，最终将进行身份验证。