用于 Kerberos 身份验证的 IIS 日志监控
IIS log monitoring for Kerberos authentication
我们对我们的网站使用 Kerberos 身份验证,它在大多数情况下都运行良好。
意味着我们只启用了 Windows 身份验证并为提供商使用协商、NTLM(以相同的顺序)
但有时我们会在我们的应用程序中看到问题,我们怀疑它是在 Kerberos 身份验证失败时发生的。 (主要针对 iisreset 后的第一次调用)。只有当我们在负载均衡器后面有多个节点时才会发生这种情况。
我是否可以在 IIS 日志中查看是否确实存在 Kerberos 身份验证失败?
我可以在 IIS 日志中看到太多 sc-status 作为 401 的条目。
后来我读到的是 401 响应是 Kerberos 身份验证的一部分。
如果请求的第一个响应是 401,那么后续调用将使用相同的 url 和身份验证 headers 进行,我们应该得到 sc_status 的不同响应( 200 或一些状态代码)。
即使在这种情况下,我们如何区分 IIS 日志中的第一次调用和第二次调用?
IIS 日志将无法跟踪 kerberos 身份验证失败。它只记录 401.2 和 win32-status。但是您可以像 lex 所说的那样启用 kerberos 事件查看器,或者使用网络监视器跟踪故障。
https://www.microsoft.com/en-us/download/4865
我们对我们的网站使用 Kerberos 身份验证,它在大多数情况下都运行良好。 意味着我们只启用了 Windows 身份验证并为提供商使用协商、NTLM(以相同的顺序)
但有时我们会在我们的应用程序中看到问题,我们怀疑它是在 Kerberos 身份验证失败时发生的。 (主要针对 iisreset 后的第一次调用)。只有当我们在负载均衡器后面有多个节点时才会发生这种情况。
我是否可以在 IIS 日志中查看是否确实存在 Kerberos 身份验证失败? 我可以在 IIS 日志中看到太多 sc-status 作为 401 的条目。
后来我读到的是 401 响应是 Kerberos 身份验证的一部分。 如果请求的第一个响应是 401,那么后续调用将使用相同的 url 和身份验证 headers 进行,我们应该得到 sc_status 的不同响应( 200 或一些状态代码)。 即使在这种情况下,我们如何区分 IIS 日志中的第一次调用和第二次调用?
IIS 日志将无法跟踪 kerberos 身份验证失败。它只记录 401.2 和 win32-status。但是您可以像 lex 所说的那样启用 kerberos 事件查看器,或者使用网络监视器跟踪故障。
https://www.microsoft.com/en-us/download/4865