Schritte zum Einrichten von Kerberos für die Windows-Authentifizierung

• Öffnen Sie die Eingabeaufforderung im Administratormodus.
• Führen Sie den folgenden Befehl aus, um den Service Principal Name (SPN) für das Konto hinzuzufügen
setspn -a HTTP/## Server FQDN ## ## Domain Service Account ## Beispiel: C:\Benutzer\Administrator> setspn -A HTTP/mini.example.com gpadmin
Hinweis: „mini.exmaple.com“ ist hier der FQDN. Stellen Sie sicher, dass es auf dem Windows-Server auflösbar ist, auf dem der AD-Dienst ausgeführt wird.

• Öffnen Sie Active Directory-Benutzer und -Computer.
• Suchen Sie nach dem Dienstkonto, das zum Erstellen des Dienstprinzipalnamens (SPN) verwendet wurde.
• Navigieren Sie zu der Delegation Tab.
• Auswählen Vertrauen Sie diesem Benutzer für die Delegierung an einen beliebigen Dienst (nur Kerberos)..
• Klicken Sie auf Anwenden.
• Öffnen Sie den IIS-Manager.
• Wählen Sie die Site aus, auf die Sie die Windows-Authentifizierung anwenden möchten.
• Wählen Sie den Anwendungspool für diese Website aus. Klicken Sie mit der rechten Maustaste darauf und wählen Sie Erweiterte Einstellungen.
• Verwenden Sie „Benutzerdefiniertes Konto“ und legen Sie das Konto als Dienstkonto fest, für das die Delegierung aktiviert wurde. Sie müssten auch das Passwort des Dienstkontos eingeben.
• Navigieren Sie zum Abschnitt „Authentifizierung“ für die Website.
• Ermöglichen Windows-Authentifizierung und deaktivieren Sie die anonyme Authentifizierung.(Beide können nicht gleichzeitig arbeiten)
• Gehen Sie zum Konfigurationseditor.
• Suchen nach: system.webServer/security/authentication/windowsAuthentication
• Sept useKernelMode as falsch und useAppPoolCredentials as Wahre im Konfigurationseditor.
• Klicken Sie auf Anwenden.
• Starten Sie den IIS-Server neu.