Iis 7 IIS 7.0中委派的Kerberos身份验证

我正在尝试创建一个.net网页，该网页使用UserPrinciple.Current获取当前登录用户的详细信息，并允许他们更改Active Directory密码

经过一番痛击，我终于成功了（耶！）。我唯一的问题是，我希望它在我们的内部网站上工作(http://intranet)但它似乎只有在我指定完全限定的域名时才起作用(http://intranet.mydomain.co.uk)

查看本页（）“摘要”部分底部的疑难解答部分似乎包含两条相互冲突的建议：

3.为了让Kerberos正常工作，您必须为所有通信使用完全限定域名（FQDN）

5.如果Web服务器使用完全限定的域名，则必须将网站添加到Internet Explorer中的intranet网站列表中

请注意，项目5以开头，如果，则表明它没有这样做。但第3项指出FQDN是必要的

---

因此，问题很简单：我可以通过IIS 7设置委派而不使用FQDN主机名吗？

您需要这两个否则它将无法正常工作，IE将退回到NTLM。顺便说一句，编写一个用户可以更改其广告密码的网络应用程序是毫无意义的。这应该通过Windows更改密码对话框完成，而不是通过某些第三方工具完成。

只有当您的用户有权访问Windows更改密码对话框时，这才是毫无意义的。如果他们是使用移动设备的移动用户，那么（至少在我们现有的设置下）他们没有，因此要更改他们的密码，他们要么需要一个可以远程访问的Web应用程序，要么他们必须专程进入办公室。你仍然回答了我的问题，因为我必须使用FQDN。我讨厌计算机。我刚刚返回到我的“更改密码”网页，现在它在不使用FQDN的情况下工作正常。我发誓周五晚上回家的时候我离开的时候它不工作！所以我的问题的答案似乎是：是的，你可以在没有FQDN的情况下授权，只要不是周五晚上……这怎么行？Kerberos应该失败。请使用Wireshark检查HTTP流量，如果可以，请报告。我非常乐意了解发生了什么。好吧，我不是Wireshark的专家，但在检查了流量后，它肯定是在传递Kerberos票证（它必须这样做才能使AD更改密码请求生效）。票证确实包含intranet站点的FQDN，尽管我没有在URL中指定它，这解释了它为什么工作，即使它没有解释FQDN是如何到达那里的。我猜在这条线路的某个地方，有人认识到“intranet”实际上翻译成了“intranet.mydomain.co.uk”-可能是从DNS记录？是的，可能是DNS。其工作原理如下：GSS-API/SSPI将主机名解析为IP地址，然后反向解析为主机名。这就是SPN的构建方式。你的情况可能就是这样。