无法根据 ADAM 对 SharePoint Extranet 站点进行身份验证

Question

项目背景： 我正在建立一个小农场，其中内联网是它自己的应用程序。 遵循最低特权帐户设置原则，我为每个进程/应用程序创建了域用户帐户。 水池。 服务身份验证在 Kerberos 上效果很好。

其中一个项目需要有另一个 Web 应用程序（与 Intranet 分开）通过 Internet 向客户端公开。 为了保持 AD 结构独立，我们决定使用 ADAM。 该应用程序。 池帐户是独立的并且也使用 Kerberos。 关注 https://blogs.pointbridge.com/Blogs/morse_matt /Pages/Post.aspx?_ID=2，我扩展了原始应用程序，并将其配置为 Extranet 区域，分配 LDAPMembership 提供商，如本文所述。

困境 虽然人员选择器可以工作并允许我从 AD 和 ADAM 数据存储中指定集合管理员、站点所有者、成员等，但我无法登录我的用户。我不断收到用户无法进行身份验证的信息错误。 幸运的是，日志不会产生与目录查找相关的错误。 ADAM 数据存储似乎从未受到攻击。

根据 MS 的文章，我自己的想法是，因为我不使用 NTLM，所以爬虫永远不会到达 Extranet 区域。 然而，如果我们都知道 Kerberos 优于 NTLM，我应该如何保护应用程序的安全。

任何想法将不胜感激。

注意：SPN 已正确设置，权限已根据需要分配，ADAM 用户已禁用设置为 false，app. 池帐户列在 ADAM 内的读者角色容器中，

谢谢， 杰克

Answer 1

您可以检查的一件事是网络端口的打开情况。 我假设您的 Web 服务器和 LDAP 服务器位于不同的网段。

想法是 LDAP 端口和 SSL 端口是不同的。 如果人员选择器使用 LDAP 端口并且登录使用 SSL 端口，那么这可以解释为什么一个可以工作而另一个不能，以及为什么呼叫没有到达 LDAP 服务器。