A passagem do IIS ARR na autenticação do Windows não funciona

1

Eu tenho um problema semelhante ao descrito aqui: ARR 3 IIS 7.5 Autenticação do Windows não funciona

Infelizmente, essa solução não funciona nos nossos servidores.

Em nosso ambiente de teste, temos um servidor ARR (Win 2012, IIS 8.0) e um servidor web (Win 2008R2). O aplicativo da Web no servidor da Web requer autenticação do Windows e já funciona quando o cliente está usando o NTLM como uma resposta à solicitação de negociação. Mas quando o cliente envia um tíquete Kerberos, a solicitação não é encaminhada ao servidor da Web, mas, em vez disso, é respondida pelo servidor ARR com uma mensagem HTTP 401.

Já tentei muitas recomendações sem sucesso. A autenticação falha na ARR ou no servidor da Web.

Tivemos o ARR 2.5 em execução, mas eu também já testei com o ARR 3.0 sem sucesso.

Eu também configurei as entradas do SPN para o ARR e o servidor web ( link ). E tentei usar as mesmas contas de usuário para o pool de aplicativos no ARR e no servidor da Web.

------- EDITAR -------

  • Experimentei toda a abordagem a partir da outra solução de trabalho ( ARR 3 IIS 7.5 Autenticação do Windows não funciona )
  • Desative o Kerberos na ARR e na Web (separadamente) para que somente o NTLM seja suportado (falha na ARR)
  • App pool com identidade do pool de aplicativos e conta real (mesmo na ARR e na Web) com diferentes abordagens de SPN
  • Atualize para o ARR 3.0 e repita todas as tentativas

O problema é sempre que o servidor ARR está reagindo no cabeçalho de negociação, mesmo se o ARR estiver configurado para anônimo.

BTW: o KB 2732764 foi instalado há muito tempo

    
por Markus 10.02.2015 / 12:01

1 resposta

1

Eu finalmente encontrei uma solução para nós:

Como não temos o requisito de autenticação "multi-hop" (= kerberos), consegui forçar o NTLM. No servidor web sob a autenticação (site) eu mudei os provedores para a Autenticação do Windows e removi tudo menos o NTLM. Então, o NTLM é o único meio disponível para autenticação.

No ARR, alterei tudo de volta para as configurações originais e habilitei apenas o acesso anônimo. Então o ARR é capaz de passar a autenticação para o servidor web.

Na minha opinião, a Microsoft tem um bug no manuseio do Kerberos e não depende se a autenticação é feita em um Kernel ou pela ARR.

    
por 10.02.2015 / 17:22