A Microsoft informa que não é possível . Recentemente, fiz uma pergunta semelhante, porém mais geral, .
Eu estou apoiando um aplicativo baseado em IIS que é dimensionado para servidores web e de aplicativos. Web e aplicativos são executados por trás do IIS. O aplicativo é compatível com NTLM quando o IIS está configurado para autenticação via Kerberos. Tem trabalhado até agora sem uma falha.
Agora, estou tentando trazer 2 switches F5, um na frente da web e outro na frente dos servidores de aplicativos. 2 instâncias F5 (digamos, ips 185 e 186) estão sentadas em um host LINUX. F5 a F5 procura um IP NAT (digamos ips 194, 195 e 196). Criei uma entrada de DNS para todos os IPs, incluindo NAT, e executei um comando SETSPN para registrar a conta de serviço do IIS para ser confiável nos níveis HTTP, HOST e de domínio. Com a Web F5 ativada e com cada servidor web conectado a um servidor de aplicativos cardinal, quando o usuário se conecta ao nome de domínio da Web F5, a confiança funciona e o usuário autentica sem nenhum problema. No entanto, quando o balanceador de carga de aplicativos está ativado e os servidores da Web são apontados para o novo nome de domínio do aplicativo F5, o usuário obtém 401. O log do IIS não mostra nenhum nome de usuário autenticado e mostra um status 401. O Wireshark mostra negociar o cabeçalho do ticket passado para o sistema.
Qualquer ideia ou sugestão é muito apreciada. Por favor, conselhos.
A Microsoft informa que não é possível . Recentemente, fiz uma pergunta semelhante, porém mais geral, .