Eu tenho um IIS em um servidor que é membro de um domínio do AD. O aplicativo está usando a autenticação integrada do Windows e os usuários desejam o logon único. Além da porta do aplicativo da Web (80), há portas adicionais necessárias:
Estou perguntando isso porque o cliente está colocando o servidor da web atrás de um firewall e abrirá portas específicas somente a pedido.
Não, não há. Os dados de autenticação do cliente são enviados no cabeçalho HTTP Authorization: padrão. Os tokens do Kerberos são validados pelo próprio servidor (em sua keytab ou 'machine password') e usando o protocolo de login AD regular para o NTLM.
Tags active-directory kerberos iis