Cliente para o IIS para autenticação Kerberos do SQL Server

2

Eu gostaria de ter uma configuração em que o servidor da web IIS fica em um servidor virtual diferente do qual o meu SQL Server está instalado e a Autenticação do Windows deve ser usada para todas as conexões. Atualmente estou recebendo o erro Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON' temido, que um script em execução no servidor IIS executa uma consulta no SQL Server, que, de todas as minhas pesquisas, aponta para o problema do salto duplo. Tentei configurar os SPNs para resolver o problema, mas não cheguei a nenhum lugar. Aqui é onde eu estou até agora:

  • No IIS, desativei a Autenticação Anônima e habilitei a Autenticação do Windows. O provedor de Negociação tem precedência sobre o provedor NTLM
  • O pool de aplicativos está configurado para usar o NetworkService
  • No ActiveDirectory, os dois servidores ( serveriis e serversql ) são configurados para permitir delegação para todos os serviços
  • O serviço do SQL Server é executado usando o usuário svc_sql , que tem a delegação ativada
  • Vamos chamar o domínio corp.domain.com e gostaríamos de poder usar internal como URL do site da intranet
  • Acredito que o site não deve usar as credenciais do pool de aplicativos e deve usar o modo kernel, embora eu não esteja 100% certo de que está correto

Eu tentei configurar os SPNs para o serviço HTTP com a conta da máquina ou com as contas de serviço, mas isso não funcionou. A única alteração que consegui produzir foi que o Chrome me deu um erro ERR_INVALID_AUTH_CREDENTIALS quando usei a conta de serviço. Configurar SPNs para o banco de dados ( MSSQLSvc ) também não pareceu fazer nada. Eu não tentei usar todas as diferentes permutações da conta de máquina / conta de serviço para ambos os servidores. Eu literalmente passei 2 dias tentando fazer isso funcionar, mas todos os recursos que encontrei on-line não me apontaram a solução correta. Ambos os servidores virtuais estão executando o Windows 2008 R2. Eu ficaria muito grato se alguém pudesse me indicar uma solução que não me envolva executando o IIS no mesmo servidor que o banco de dados.

    
por Paschover 22.03.2016 / 16:59

0 respostas