我在使用 Kerberos 的测试环境中配置我的 IIS 7.0 网站时遇到问题。我有安装了 AD DS、AD RMS、DHCP、DNS 和 IIS 角色的 Windows Server 2008 R2 试用版。我已经进入了站点的 IIS 安全设置并设置了 Windows 身份验证以允许 Kerberos 登录。
我遇到的问题是它没有经常使用 Kerberos 作为安全协议。当我在 IIS 中将提供程序设置为“协商”时,Fiddler2 指示标头将在 50% 的时间内返回 NTLM 标头,在其他 50% 的时间内返回 Kerberos 标头。如果我在 IIS 中将提供程序设置为“Negotiate:Kerberos”,则我根本无法访问该站点,因为它会立即报告 401 错误。此外,任何使用 Linux 机器以任一配置连接到站点的尝试都会立即指向 401 安全错误。
任何人都可以提供一些有关如何配置它的见解或指南吗?除了启用 Kerberos 之外,我特别需要阻止对 NTLM 的任何回退,而不管我连接的是什么机器。到目前为止,我还没有找到任何完全解决这个问题的 technet 或 serverfault 文章。