В моем окружении есть два отдельных леса FA.COM и FB.COM и два дочерних домена DA.FA.COM и DB.FB.com. Нет доверия лесов, но существует двустороннее внешнее доверие между DA.FA.COM и DB.FB.com.
У меня есть сервер IIS (IIS8. 5 в Windows 2012r2) на DB.FB.com, и я выполнил инструкции здесь https://blogs.msdn.microsoft.com/chiranth/2014/04/17/setting-up-kerberos-authentication-for- a-website-in-iis / , чтобы настроить единый вход Kerberos для статического веб-сайта на сервере IIS и заставить его работать для клиентов, осуществляющих доступ из DB.FB.COM.
Однако мне нужно расширить доступ, чтобы разрешить пользователям из DA.FA.COM, входящего на свои клиентские машины (также в DA.FA.COM), чтобы получить доступ к статическому веб-сайту (в DB.FB.COM) через Kerberos. В настоящее время пользователи и клиенты DA.FA.COM могут использовать единый вход, но через NTLM вместо Kerberos. (Примечание: я проверяю, работает ли SSO через Kerberos или NTLM, используя для проверки как Fiddler, так и Klist)
У меня вопрос, получил ли я kerberos sso для работы в этом домене DB.FB.COM, нужны ли мне какие-либо дополнительные конфигурации на сервере IIS для поддержки керберосов между лесами или это вопрос конфигураций между контроллерами домена в DA.FA.COM и DB.FB.com для поддержки керберов между лесами?
Для этого, вероятно, потребуется настроить групповую политику «Использовать порядок поиска в лесу» в разделе Конфигурация компьютера> Шаблоны администрирования> Система>
на FA.COM со значением FB.COM
.
Если я изменю Kerberos локально, я могу подключиться к экземпляру SQL Server в другом лесу через Kerberos. Что я легко могу проверить с помощью SELECT CAST (CONNECTIONPROPERTY ('auth_scheme') AS NVARCHAR (MAX)) AS auth_scheme
.
https://docs.microsoft.com/en-us/previous-versions /windows/it-pro/windows-server-2008-R2-and-2008/hh921473(v=ws.10) - вот где вы можете найти дополнительную документацию по расширению.
Надеюсь, это все еще будет полезно для кого-то.