Windows-Server-2016

Web 應用程序代理 SPN 委派

  • June 13, 2018

希望這將是一個快速的,但即使在網上進行了一些瘋狂的搜尋後,我仍然對如何做到這一點保持空白。

我最近的任務是為我們的 WAP(Web 應用程序代理)場增加彈性,因為我們正在內部發布更多應用程序,並為許多 Web 應用程序使用基於 SAML 的 SSO 的 ADFS。

第一個 WAP 盒子工作得很好(在我加入組織之前設置),但第二個不能正常工作。探勘此 WAP 伺服器上的日誌,我不斷收到此錯誤:

Web Application Proxy encountered an unexpected error while processing the request.
Error: No credentials are available in the security package
(0x8009030e)

圍繞這個錯誤進行搜尋讓我相信第二個 WAP 沒有我試圖發布的幾個內部應用程序所需的委託。

從 AD 來看,這肯定是 WAP1 上顯示的 SPN 委派的情況,但 WAP2 不受信任(見下圖)。

WAP 授權比較

我的問題只是如何將 WAP1 上的所有服務列表添加到 WAP2 上,因為 GUI 不允許您搜尋 SPN 服務。

您可以使用任何基於 LDAP 的管理工具(如 ldifde.exe、ldp.exe、adsiedit.msc)來編輯 WAP 電腦帳戶並添加 msDS-AllowedToDelegateTo 屬性以根據需要獲得 SPN。這顯然需要AD中的相關權限才能修改電腦對象。

確保您還根據https://support.microsoft.com/en-gb/help/305144/how-to-use-the-useraccountcontrol-flags-to-manipulate-user-account-更新 useraccountcontrol 標誌以包含 TRUSTED_TO_AUTH_FOR_DELEGATION

引用自:https://serverfault.com/questions/914573