Authentication 非基于索赔的应用程序的Web应用程序代理出现错误500
我正在配置Windows Active Directory SSO我根据此处的教程构建了一个实验室: 设置实验室后,我将使用internet explorer从外部客户端进行连接:Authentication 非基于索赔的应用程序的Web应用程序代理出现错误500,authentication,iis,active-directory,reverse-proxy,adfs3.0,Authentication,Iis,Active Directory,Reverse Proxy,Adfs3.0,我正在配置Windows Active Directory SSO我根据此处的教程构建了一个实验室: 设置实验室后,我将使用internet explorer从外部客户端进行连接: 基于声明的webapp运行良好 我对非基于声明的网页(具有windows身份验证的IIS起始页)有问题 此时将显示“身份验证”页面 登录后,我被重定向到HTTP 500错误页面 该URL在内部网络上运行良好,无需使用Web应用程序代理 有人能帮我解决这个问题吗 祝你度过愉快的一天 附言:你可以在下面找到实验室
- 基于声明的webapp运行良好
- 我对非基于声明的网页(具有windows身份验证的IIS起始页)有问题
- IP:192.168.22.1
- 域名:contoso.com
- 信任计算机WAP进行指定SPN的身份验证委派(192.168.22.15):HTTP/WAP和HTTP/WAP.contoso.com
- IP:192.168.22.2
- 域名:contoso.com
- 联合会URL:adfs1.contoso.com
- 依赖方信任:无索赔意识,IDIdentifier:webapp2.contoso.com,发布授权“允许所有用户访问”
- IP:192.168.22.20
- 无索赔意识的应用
- 网址:webapp2.contoso.com
- 域名:contoso.com
- SPN:HTTP/WEBAPP2和HTTP/WEBAPP2.contoso.com
- IP:192.168.22.15
- 外部IP:10.0.0.1
- SPN:HTTP/WAP和HTTP/WAP.contoso.com
- 使用无索赔意识的依赖方信任
- 前端和后端URL:webapp2.contoso.com
- 后端SPN:HTTP/WEBAPP2.contoso.com
- IP:10.0.0.2
10.0.0.1 webapp2.contoso.com
10.0.0.1 adfs1.contoso.com
10.0.0.1 enterpriseregistration.contoso.com
图解
Web应用程序代理配置
ADFS配置
IIS配置
客户端配置
DC配置
DNS配置
Technet文章对正确的SPN条目有点含糊不清 尝试使用以下方法检查重复项:
setspn -X
您还可以检查事件日志:
- “远程访问”部分中的WAP服务器。这会让你知道哪一步沟通失败李>
- AD服务器,首先启用Kerberos日志记录
作为最后的手段,您可以使用WireShare或MessageAnalyzer嗅探网络流量,并查看通信中的错误 这显然是WAP/kerberso的问题。您需要在KCD模式下重新启动WAP服务器。如果检查Web App Proxy上的事件日志,您可能会发现以下情况:*Web Application Proxy在处理请求时遇到意外错误。错误:访问代码无效。(0x8007000c)。*Web应用程序代理超出了允许对后端服务器进行Kerberos身份验证的最大尝试次数。*Web应用程序代理无法对用户进行身份验证,因为后端服务器使用HTTP 401错误响应Kerberos身份验证尝试。