Web 應用程序代理 SPN 委派

希望這將是一個快速的，但即使在網上進行了一些瘋狂的搜尋後，我仍然對如何做到這一點保持空白。

我最近的任務是為我們的 WAP（Web 應用程序代理）場增加彈性，因為我們正在內部發布更多應用程序，並為許多 Web 應用程序使用基於 SAML 的 SSO 的 ADFS。

第一個 WAP 盒子工作得很好（在我加入組織之前設置），但第二個不能正常工作。探勘此 WAP 伺服器上的日誌，我不斷收到此錯誤：

Web Application Proxy encountered an unexpected error while processing the request.
Error: No credentials are available in the security package
(0x8009030e)

圍繞這個錯誤進行搜尋讓我相信第二個 WAP 沒有我試圖發布的幾個內部應用程序所需的委託。

從 AD 來看，這肯定是 WAP1 上顯示的 SPN 委派的情況，但 WAP2 不受信任（見下圖）。

我的問題只是如何將 WAP1 上的所有服務列表添加到 WAP2 上，因為 GUI 不允許您搜尋 SPN 服務。

您可以使用任何基於 LDAP 的管理工具（如 ldifde.exe、ldp.exe、adsiedit.msc）來編輯 WAP 電腦帳戶並添加 msDS-AllowedToDelegateTo 屬性以根據需要獲得 SPN。這顯然需要AD中的相關權限才能修改電腦對象。

確保您還根據https://support.microsoft.com/en-gb/help/305144/how-to-use-the-useraccountcontrol-flags-to-manipulate-user-account-更新 useraccountcontrol 標誌以包含 TRUSTED_TO_AUTH_FOR_DELEGATION親

引用自：https://serverfault.com/questions/914573