在IIS 7.0中進行委派的Kerberos身份驗證

Question

我試圖創建一個使用UserPrinciple.Current獲取當前登錄用戶的詳細信息並允許他們更改其Active Directory密碼的.net網頁。

經過一番公然的抨擊後，我得到了它的工作（耶！）。我唯一的問題是，我希望它在我們的Intranet站點（http：// intranet）上工作，但它似乎只有在指定完全限定的域名（http://intranet.mydomain.co.uk）時才起作用。

望着這頁（How to configure an ASP.NET application for a delegation scenario）在「摘要」部分底部的故障排除部分似乎包含兩個相互矛盾的建議件：

3.對於Kerberos的正常工作，你必須充分利用所有通信的合格域名（FQDN）。

5.如果Web服務器使用完全限定的域名，則必須將該站點添加到Internet Explorer中的Intranet站點列表中。

需要注意的是第5點開始與IF - 這意味着它不HAVE這樣做。但是第3條規定FQDN是必要的。

所以問題很簡單：我可以通過IIS 7設置委派而不使用FQDN主機名嗎？

Answer 1

你需要都否則它不會工作的一個很好的理由和IE將回退到NTLM。 Jus一個側面說明，編寫一個web應用程序，用戶可以更改他的AD密碼是毫無意義的。這應該通過Windows更改密碼對話框而不是一些第三方工具來完成。