Por que a segurança do Kerberos está falhando em nosso servidor proxy do ADFS?

2

Temos um serviço WCF que usa federação ativa para autenticar chamadores via AD FS 2.0 e está funcionando bem internamente. Agora queremos expô-lo ao mundo externo, portanto, nossa equipe de servidores configurou um servidor na DMZ para o serviço e um servidor Proxy do AD FS.

Quando o serviço WCF é chamado, obtemos a seguinte exceção:

System.ServiceModel.Security.SecurityNegotiationException: SOAP security negotiation with 'https://adfs-dev.example.com/adfs/services/trust/2005/kerberosmixed' for target 'https://adfs-dev.example.com/adfs/services/trust/2005/kerberosmixed' failed. See inner exception for more details.'

---> System.IdentityModel.Tokens.SecurityTokenValidationException: The NetworkCredentials provided were unable to create a Kerberos credential, see inner exception for details.

---> System.IdentityModel.Tokens.SecurityTokenException: InitializeSecurityContent failed. Ensure the service principal name is correct.

--> System.ComponentModel.Win32Exception: The specified target is unknown or unreachable.

  • O servidor interno do AD FS é um servidor único configurado como farm vs. autônomo e o serviço AD FS é executado em uma conta de serviço.
  • O servidor proxy do AD FS é um único servidor configurado como autônomo e o serviço AD FS é executado como Serviço de Rede.
  • Uma entrada de arquivo host no servidor de aplicativos na DMZ aponta o nome do serviço do AD FS para o IP do servidor proxy.
  • O firewall permite o tráfego SSL na porta 443 do proxy para o servidor interno do AD FS.
  • O SPN do HOST / adfs-dev.example.com está registrado para a conta de serviço.

O que posso estar perdendo?

    
por Rick Liddle 12.06.2013 / 20:47

1 resposta

1

' link ' não está disponível como um endpoint em um proxy. Por favor, escolha um endpoint que esteja disponível.

    
por 14.06.2013 / 00:30