私は、インターネット上で実行されているイントラネット.NET 4.5.1 WebアプリケーションにアクセスするFirefox 38.2.1(またはIE 11)のダブルホップの制約付き委任を実装するシステムを使用していますWindows Server 2012(IIS 8.5)から別のサーバー上のSQL Server 2008 R2。委任シナリオは機能しています。ユーザーのAD資格情報は、Webサーバーとは別のサーバー上のデータベースに渡されます。 DCはWindows Server 2008 R2であり、SPNを使用しています。ネゴシエート時にKerberosにリセットします。
ただし、Kerberosが失敗するFirefox設定が欠落しているなどのシナリオがあります。認証プロトコルはNTLMにダウングレードされます。 Kerberos認証プロトコルが再起動されるまで(一部の情報源は5分と言いますが、テストでは10-12分ほどです)、委任は一定期間は機能しません。さらに、失敗した委任は、Kerberosが自動的に再起動されるまで、プロトコルのダウングレードが有効になった後にアプリケーションにアクセスするすべてのユーザーに影響します。言い換えれば、彼らのセッションはNTLMを使用しており、10〜12分間データベースへのアクセスがブロックされています。
Kerberosに手動で認証プロトコルを復元するためのコード(c#)/ IIS/Firefox/IEなどの方法があります。これにより、NTLMが使用されているプロトコルのウィンドウが短くなりますか?
ありがとうございます。 #2は現在、積極的な対策として活動中です。あなたが提供したリンクは非常に役に立ち、私はチームと共有します! –
こんにちは。これはあなたのために機能しましたか?もしそうなら、私たちはあなたの質問に答えました。それをコミュニティの他の人にも確認できるようにマークしてください。そうでない場合は、私たちに知らせてください。 –
Kerberos委任が失敗するのを防ぐ積極的な方法を提案しましたが、私の質問の中核であるリセットするための反応的な解決策はありませんでした。あなたの答えはディスカッションに役立ちましたが、一度失敗したら復元する方法に対する答えではありません。 –