Question Application Web IIS 7.5 échouant avec la connexion NT Authority \ Anonymous


Je trouve divers résultats sur Google, mais aucun ne semble résoudre mon problème.

Je suis en train de configurer une nouvelle machine WINDOWS 2008 R2 au travail qui doit communiquer avec une machine SQL 2012 existante via des outils Web s'exécutant dans IIS 7.5 sur notre intranet. Nous devons utiliser l'authentification Windows via - IE -> Serveur Web -> SQL. Nous utilisons Kerberos. Lorsque vous visualisez l'outil localement sur le serveur Web, tout va bien, mais une fois que j'essaie de le visualiser sur un client distant, l'erreur "Échec de la connexion pour l'utilisateur 'NT AUTHORITY \ ANONYMOUS LOGON'" s'affiche.

Laissez-moi vous expliquer comment nous avons le site web Pool d'applications exécutant .NET 2.0 en mode classique avec une identité ApplicationPoolIdentity L'authentification Windows est activée avec la protection étendue définie sur Désactivé, l'activation de l'authentification en mode noyau est cochée et les fournisseurs activés sont (dans l'ordre), Négocier et NTLM. L'emprunt d'identité ASP.NET est activé. Il est configuré pour emprunter l'identité en tant qu'utilisateur authentifié.

Chaîne de connexion SQL au format suivant:

Data Source=THESQLBOXNAME;Initial Catalog=DATABASENAME;Integrated Security=True

J'ai une page de test que j'ai placée sur le serveur Web (en suivant les paramètres mentionnés ci-dessus) qui affiche les données suivantes:

HttpContext.Current.User.Identity.IsAuthenticated est vrai

HttpContext.Current.User.Identity.Name est l'utilisateur attendu (utilisateur qui lance le navigateur)

System.Security.Principal.WindowsIdentity.GetCurrent.Name est l'utilisateur attendu

Je tente une requête SQL de base à la boîte de SQL et obtenir l'erreur de connexion mentionnée ci-dessus.

J'ai vérifié AD et vérifié que la boîte Web est dotée d'un ensemble de délégation - "Confiance sur cet ordinateur pour la délégation uniquement à des services spécifiés / Utiliser Kerberos uniquement"

J'ai exécuté cette page de test sur une boîte WINDOWS 2008 R2 existante exécutant IIS 7.5 (avec les mêmes paramètres mentionnés ci-dessus) et je ne reçois aucune erreur.

J'ai vérifié les paramètres SPN des deux boîtes Web et ils sont identiques (à l'exception du nom de la machine):

setspn -L EXISTINGBOX

WSMAN/EXISTINGBOX.domain.com
WSMAN/EXISTINGBOX
TERMSRV/EXISTINGBOX.domain.com
TERMSRV/EXISTINGBOX
HOST/EXISTINGBOX.domain.com
HOST/EXISTINGBOX
RestrictedKrbHost/EXISTINGBOX.domain.com
RestrictedKrbHost/EXISTINGBOX

setspn -L NEWBOX
WSMAN/NEWBOX.domain.com
WSMAN/NEWBOX
TERMSRV/NEWBOX.domain.com
TERMSRV/NEWBOX
HOST/NEWBOX.domain.com
HOST/NEWBOX
RestrictedKrbHost/NEWBOX.domain.com
RestrictedKrbHost/NEWBOX

Je me rends compte que cela fonctionne comme le problème du double saut, mais le fait qu’il fonctionne sur une autre boîte me fait penser que c’est quelque chose de spécifique avec la nouvelle boîte Web. Que diable me manque-t-il ?????


5
2017-12-03 19:59


origine




Réponses:


Les deux dernières choses auxquelles je peux penser est de vérifier que les SPN MSSQLSvc enregistrés sous le compte de service du serveur SQL sont enregistrés (ce que vous avez peut-être déjà depuis que vous avez un scénario de travail). Au cas où:

  • MSSQLSvc \ NetBIOS
  • MSSQLSvc \ NetBIOS: 1433
  • MSSQLSvc \ FQDN.domain.com
  • MSSQLSvc \ FQDN.domain.com: 1433

Si cela est fait, puis, en revenant à l'onglet AD où vous avez l'option d'approbation, ajoutez le compte de serveur SQL en tant que service autorisé. Si tel est le cas, vous devriez voir MSSQLSvc * dans la liste.

Si les méthodes ci-dessus ne fonctionnent pas, vous devrez peut-être activer le suivi Keberos ou utiliser un suivi réseau pour rechercher les erreurs Kerberos.


0
2018-04-03 15:17





Vérifiez si le serveur IIS non opérationnel a "Ordinateur de confiance pour la délégation" défini: http://blogs.technet.com/b/taraj/archive/2009/01/29/checklist-for-double-hop-issues-iis-and-sql-server.aspx


-1
2017-12-06 15:12