Kerberos ne fonctionne plus après l'exécution du pool d'applications en tant que gMSA avec SPN enregistré pour le domaine

Question

J'ai une application configurée pour l'authentification Windows dans IIS et distribuait précédemment des tickets Kerberos lors de l'exécution en tant qu'identité de pool d'applications locales.

Parce que je veux exécuter l'application sur plusieurs serveurs derrière une amazone ELB, je ne les suivantes:

• inscrit un groupe géré compte de service
• aspnet_regiis -GA
• a modifié le pool d'applications pour exécuter en tant que ce compte de service géré par groupe
• SPN ajoutés pour le nom de domaine complet, c'est-à-dire http/mysite.mydomain.test et https/mysite.mydomain.test, et vérifié qu'ils sont présents

Cependant, lorsque je tente d'authentifier maintenant, je ne reçois que Authorization: NTLM dans la réponse plutôt que Authorization: Negotiate ...

Ma question est: comment puis-je aller sur le débogage pourquoi cela se produit, à savoir pourquoi IIS est pas plus renvoyer des billets Kerberos?

Answer 1

Avez-vous ajouté le SPN au compte de service de gestion de groupe?

Vérifiez la présence de SPN en double? (setspn -x)

Accédez aux fournisseurs pour l'authentification Windows sur votre site et déplacez Négocier au-dessus de NTLM, ou supprimez simplement NTLM. Soit cela fonctionnera, soit vous obtiendrez une erreur qui vous aidera à le retrouver.