У меня есть подобная проблема, как описано здесь: аутентификация Windows ARR 3 IIS 7.5, не работающая
К сожалению, то решение не работает над нашими серверами.
В нашей тестовой среде у нас есть сервер ARR (Win 2012, IIS 8.0) и веб-сервер (Win 2008R2). Веб-приложение на веб-сервере требует аутентификации Windows, и это уже работает, когда клиент использует NTLM в качестве ответа на согласовывать запрос. Но когда клиент отправляет билет Kerberos, запрос не передает к веб-серверу, но вместо этого отвечает сервер ARR с сообщением HTTP 401.
Я уже попробовал много рекомендаций без успеха. Или аутентификация перестала работать на ARR или веб-сервере.
У нас было выполнение ARR 2.5, но я также уже протестировал с ARR 3.0 без успеха.
Я также настроил записи SPN для ARR и веб-сервера (http://blogs.iis.net/brian-murphy-booth/archive/2007/03/09/the-biggest-mistake-serviceprincipalname-s.aspx). И попробованный для использования тех же учетных записей пользователей для пула приложений на ARR и веб-сервере.
-------РЕДАКТИРОВАНИЕ-------
Проблема всегда в том состоит, что сервер ARR воздействует на согласовывать заголовок, даже если ARR настроен для анонимного.
BTW: КБ 2732764 был установлен давным-давно
Наконец-то я нашел для нас решение:
Поскольку у нас нет требований для "многоскачковой" аутентификации (= kerberos), я смог принудительно использовать NTLM. На веб-сервере под аутентификацией (сайт) я сменил поставщиков для проверки подлинности Windows и удалил все, кроме NTLM. Таким образом, NTLM - единственный доступный способ аутентификации.
В ARR я вернул все к исходным настройкам и включил только анонимный доступ. Затем ARR может передавать аутентификацию на веб-сервер.
На мой взгляд, у Microsoft есть ошибка в обработке Kerberos, и это не зависит от того, выполняется ли аутентификация в ядре или ARR.