我有ASP.NET 2.0站点configuration为使用Kerberos委派执行Windows集成安全性。 包括DC的服务器在Windows 2003上运行,并将委派升级到Windows 2003级别。
顺便说一句,所有服务器都设置为EST
身份validation工作良好,突然服务器在系统日志中写入LsaSrv警告事件(事件ID 40960),抱怨服务器之间的时间差异。 在此期间,客户端会收到所有请求的401.2消息。 20-30分钟后,auth开始工作“神奇”
我运行了wireshark和fiddler跟踪,发现响应头中的时间戳是在GMT,即使服务器是在EST中configuration的。 我不确定这是怎么回事。 有任何想法吗?
任何其他build议非常感谢。
GMT和EST不可能是问题。
Kerberos要求所有参与者都有一个在5分钟之内的时钟。 我怀疑你需要确保服务器和客户端都有一个在该窗口内的时间。
我个人甚至在Windows上也使用NTP。 虽然可能有一个“窗口的方式”。
Chris,Mike
感谢您的指导。 我们打开了一个与微软的电话,他们能够缩小到kerberos票到期错误。 电话在2/10打开,并提供修补程序。 所以,没有报道的问题。
以下是支持链接,
http://support.microsoft.com/default.aspx?scid=kb;EN-US;979159
再次感谢
Kerberos对时间非常敏感 – 您需要确保IIS服务器上的时间与您的域控制器的时间匹配。
这篇文章Windows时间服务如何工作有一个基本的概述。
首先,您需要确保您的PDC模拟器的时间是正确的如何在Windows Server中configuration授权时间服务器
接下来,在IIS服务器上,将其设置为与域同步: configuration客户端计算机进行自动域时间同步 。
这应该做到这一点。