IIS Kerberos 身份驗證

在使用 IIS 6 的 Windows 2003 上，我們正​​在嘗試設置 Kerberos 身份驗證。這在某種程度上是有效的。我已經使用服務帳戶設置了一個單獨的應用程序池。當我將此應用程序池與 pplinfo 服務帳戶一起使用時，使用者將不會使用啟動目錄進行身份驗證。任何幫助都會很棒。

您可能應該檢查 SPN 是否設置正確。

如果您安裝了支持工具，則可以執行以下命令：

Cscript "C:\Program Files\Support Tools\search.vbs" "LDAP://DC=Your,dc=Domain,dc=com" /C:"(serviceprincipalname=<YourSPNHere>)" /S:Subtree /P:DistinguishedName   

在表單中替換<YourSPNHere>為您的 SPN，http\YourURL並在 LDAP 表單中輸入您的域。

如果您沒有找到您的 SPN，那就是問題所在。

有一個 SetSPN 命令也應該可以工作：

SetSPN -L <Account> 

但是我永遠無法讓 -L 參數與帳戶對像一起使用，而只能與電腦對像一起使用。這實際上可能是由於我們的廣告團隊強加的權利。YMMV…

引用自：https://serverfault.com/questions/53222