iis – 使用401的Kerberos身份验证失败

接下来,我怀疑http授权标头大小可能超过IIS限制.由于IIS限制实际上非常低,因此集成Kerberos授权非常容易受到此问题的影响,并且它不需要许多组成员资格来使令牌超过限制.

每个请求都包含http授权标头中的用户Kerberos令牌.因为令牌是编码的,所以它通常比实际使用的内存大得多.

您可以使用以下文档增加值：

Windows的Http.sys注册表设置
http://support.microsoft.com/kb/820129

我会使用以下值：

MaxRequestBytes – 设置为1048576
MaxFieldLength – 设置为65534

另一个有用的实用程序DelegConfig.您可以将其作为应用程序放在任何网站上,并连接以获得有关如何配置Kerberos身份验证的有用报告.这将需要作为受害者帐户(或适当配置的测试帐户,以显示受害者域中的症状)进行测试.

http://blogs.iis.net/brian-murphy-booth/archive/2007/03/09/delegconfig-delegation-configuration-reporting-tool.aspx

您可能还需要查看：

配置Internet Information Services上承载的Web应用程序时如何使用SPN
http://support.microsoft.com/kb/929650

特别：

“在Active Directory中,验证帐户是否敏感且无法委派复选框,以便访问该应用程序的用户清除.”

“验证属于Kerberos进程的所有计算机是否具有一致的名称解析并通过Kerberos信任进行连接.例如,验证Kerberos进程中涉及的计算机是在同一个林中还是跨林的一部分Kerberos信任.“

“验证令牌大小是否超过为MaxTokenSize属性设置的值.” (MaxTokenSize应设置为65535).

Internet Explorer 6无法使用Kerberos身份验证协议连接到使用非标准端口的网站
http://support.microsoft.com/kb/908209

以下文章中还有一些很好的提示.

https://blogs.msdn.com/b/friis/archive/2009/12/31/things-to-check-when-kerberos-authentication-fails-using-iis-ie.aspx

特别是,使用NetMon或KerbSpy检查客户端是否连接到预期的SPN.