Roteamento de Solicitação de Aplicativo da Microsoft com Autenticação do Windows

1

Estou com um problema ao tentar fazer com que a Autenticação do Windows funcione em um ambiente que usa o Microsoft Application Request Routing e esperava que alguém pudesse ajudar.

O problema que estou encontrando é que apenas algumas solicitações são autenticadas, enquanto outras falham com erros 401. Eu segui as instruções do Caso Especial de Execução do IIS 7.0 em um Web Farm , encontradas em link sem sucesso.

Minha configuração atual do servidor é semelhante à seguinte:

ARR

  • Dois servidores configurados com a configuração compartilhada do IIS usando o IIS 7.5 no Windows 2008 R2
  • Autenticação anônima ativada para o site padrão

Web Farm

  • Dois servidores que executam o IIS 7.5 no Windows 2008 R2
  • Três sites configurados usando a ligação de porta para diferenciar entre hosts virtuais. As portas usadas são 8000, 8001 e 8002
  • Os pools de aplicativos para Autenticação do Windows usam uma conta de domínio comum
  • SPN adicionado à conta de domínio para http/<virthalhost-name>:<port-number> e http/<virtualhost-name>.<fully-qualified-domain>:<port-number>

Os logs do IIS mostram o seguinte quando a autenticação está funcionando / falhando. Se bem entendi, todas as solicitações devem mostrar DOMAIN \ User_Name:

2012-11-19 15:03:17 CLUSTER-IP-ADDRESS GET /home/stylesheets/techweb.landing.css - 8002 DOMAIN\User_Name ARR-HOST-1-IP-ADDRESS 200 0 0 62
2012-11-19 15:03:17 CLUSTER-IP-ADDRESS GET /home/images/user-background-right.gif - 8002 - ARR-HOST-1-IP-ADDRESS  401 2 5 0
2012-11-19 15:03:17 CLUSTER-IP-ADDRESS GET /home/images/user-background-left.gif - 8002 DOMAIN\User_Name ARR-HOST-IP-ADDRESS 200 0 0 31
2012-11-19 15:03:17 CLUSTER-IP-ADDRESS GET /home/images/user-icon.png - 8002 - ARR-HOST-1-IP-ADDRESS 401 2 5 0
2012-11-19 15:03:17 CLUSTER-IP-ADDRESS GET /home/images/user-icon.png - 8002 - ARR-HOST-1-IP-ADDRESS 401 1 2148074248 0
2012-11-19 15:03:17 CLUSTER-IP-ADDRESS GET /home/images/application-icon.png - 8002 - ARR-HOST-1-IP-ADDRESS 401 1 2148074248 0
2012-11-19 15:03:17 CLUSTER-IP-ADDRESS GET /home/images/user-background-right.gif - 8002 - ARR-HOST-1-IP-ADDRESS 401 1 3221225581 15
2012-11-19 15:03:17 CLUSTER-IP-ADDRESS GET /home/images/building.gif - 8002 DOMAIN\User_Name ARR-HOST-2-IP-ADDRESS 200 0 0 218

Alguém sabe o que pode causar esse problema e como posso resolvê-lo?

EDITAR

Eu vejo os cabeçalhos Negotiate sendo enviados para os servidores sempre que realizo uma captura de rede.

Primeira solicitação /home :

Solicitar

Nada

Resposta

Proxy-Support: Session-Based-Authentication
WWW-Authenticate: NTLM
WWW-Authenticate: Negotiate

Segunda solicitação /home :

Solicitar

Authorization: Negotiate YIGeBgYrBgEFBQKggZMwgZCgGjAYBgorBgEEAY....

Resposta

Proxy-Support: Session-Based-Authentication
WWW-Authenticate: Negotiate oRUwE6ADCgEDoQwGCisGAQ....

Terceiro (e último) pedido /home :

Solicitar

Authorization: Negotiate oTMwMaADCgEBoioEKE5UTE1TU1AAAQAAAJe....

Resposta

Proxy-Support: Session-Based-Authentication
WWW-Authenticate: NTLM
WWW-Authenticate: Negotiate

Após a terceira solicitação, recebo a página 401 do IIS.

    
por Steve Platz 19.11.2012 / 17:08

1 resposta

2

Obtenha uma captura de pacote de rede das solicitações com falha e verifique o cabeçalho de solicitação Http para o token de autenticação do kerberos. Se você está esperando um token do kerberos e ele não está presente, o problema provavelmente não é o dos seus servidores.

Eu estou supondo que você está esperando kerberos por causa da lista de verificação do SPN.

Consulte o seguinte para mais informações:

link

    
por 19.11.2012 / 17:20