Делегирование SPN прокси веб-приложения
Надеюсь, это будет быстро, но я продолжаю рисовать бланк о том, как это сделать, даже после некоторого безумного поиска в Интернете.
Недавно мне было поручено добавить отказоустойчивость в нашу ферму WAP (Прокси-сервер веб-приложения), поскольку мы публикуем больше внутренних приложений и используем ADFS для единого входа на основе SAML для ряда веб-приложений.
Первый WAP-бокс работает абсолютно нормально (настройка до того, как я присоединился к организации), но второй не работает правильно. Копаясь в логах на этом WAP-сервере, я продолжаю получать эту ошибку:
Web Application Proxy encountered an unexpected error while processing the request.
Error: No credentials are available in the security package
(0x8009030e)
Поиск вокруг этой ошибки заставляет меня поверить, что у второго WAP нет необходимого делегирования для нескольких внутренних приложений, которые я пытаюсь опубликовать.
Если смотреть в AD, то это, безусловно, имеет место с делегированием SPN, показанным на WAP1, но WAP2 не является доверенным (см. Изображение ниже).
Мой вопрос заключается в том, как просто добавить список всех служб на WAP1 на WAP2, поскольку графический интерфейс не позволяет искать службы SPN.
1 ответ
Вы можете использовать любой инструмент администратора на основе LDAP, такой как ldifde.exe, ldp.exe, adsiedit.msc, чтобы отредактировать учетную запись компьютера WAP и добавить атрибут msDS-AllowedToDelegateTo, чтобы иметь нужные имена SPN. Это, очевидно, требует соответствующих разрешений в AD для изменения объекта компьютера.
Убедитесь, что вы также обновили флаги useraccountcontrol, чтобы включить TRUSTED_TO_AUTH_FOR_DELEGATION согласно https://support.microsoft.com/en-gb/help/305144/how-to-use-the-useraccountcontrol-flags-to-manipulate-user-account-pro