DNS Round-Robin IIS und SPN

[speer 19]

Hallo zusammen,

auf 5x Server 2008R2 soll eine Remote App über DNS round-robin verteilt werden. Im DNS wird der virtuelle Name mit allen Servern eingetragen.

Muss jetzt für jeden Server ein SPN mit dem virtuellen DNS Namen gesetzt werden? Also kein Cluster oder NLB.

Wie wäre die richtige Vorgehensweise?

[Dunkelmann 96]

Moin,

 

RDS Hosts benötigen keinen SPN.

[speer 19]

Hallo,

sorry, meinte beim IIS für RDS Application Pool.

[Dukel 468]

Ja *. Achtung! Du musst den DNS Eintrag als A Record und nicht als CName eintragen.

 

EDIT: * -> normalerweise ist dies so (z.B: bei SharePoint), ob das bei RDS auch so ist kann ich nur spekulieren.

bearbeitet 29. Juli 2015 von Dukel

[Dunkelmann 96]

Falls Du das RDS Web Access Portal meinst, das benötigt out of the box auch keinen zusätzlichen SPN.

 

Wenn Du die Authentifizierung allerdings von Anonym auf Windows umgestellt hast, benötigst Du für Kerberos Authentifizierung einen SPN. Ansonsten wird per NTLM authentifiziert.

https://support.microsoft.com/en-us/kb/929650

http://blogs.msdn.com/b/chiranth/archive/2014/04/17/setting-up-kerberos-authentication-for-a-website-in-iis.aspx

 

Bei mehreren IIS als RR würde ich für den Anwendungspool einen Domänenbenutzer nutzen und die Kerberos Delegierung für das Konto konfigurieren.

[speer 19]

@Dunkelmann,

perfekt, letzter Post war was ich suchte :)