Iis 仅使用localhost的受约束委派（Kerberos）

我们开发了一个在IIS 6.2上运行的WebAPI应用程序。该API使用集成身份验证。因此，这些操作将在调用API的用户的用户上下文中执行

除此之外，因为其中一些操作会对平台中的另一台服务器执行远程操作。我们使用约束委派（kerberos）来管理kerberos双跳，并在远程服务器中作为调用API的用户进行验证

我们在IIS中进行了配置更改（关于启用Windows身份验证），并在运行IIS的服务器的AD中启用了“信任此计算机以委派给任何服务（仅限Kerberos）”

当前的状态是，如果我们使用localhost访问API，那么一切都正常工作。但是，如果我们使用FQDN甚至127.0.0.1进行访问，当执行后台远程操作的API调用返回时，它会以未经授权的方式失败

有人知道我们可以解决这样的配置问题吗

---

谢谢

听起来你做得很好……除了没有或没有在AD中为主体（计算机/服务器对象）正确设置SPN，该主体引用了目标服务器上运行的web服务。例如，服务器名为server1，AD和DNS域名为acme.com。那么AD中服务器的SPN需要是HTTP/server1.acme.com。参考：

嗨，T-Heron，很抱歉反应太晚。我一直在研究另一个主题，今天我又回到了这个主题。它根本不工作，SPN在远程服务器中正确配置，用户必须经过身份验证。作为补充信息，我们正在执行Powershell命令（远程桌面cmdlet），并为wsman进程启用了委派，我认为该进程是管理Powershell命令的进程。你知道少了什么吗？谢谢您实际使用的SPN是什么，我们可以看一下吗？顺便说一下，IP地址不是有效的SPN，这就是为什么127.0.0.1不起作用。。。