Auf einer internen Fortbildung hatte ich mir den IIS7 angesehen. Eine der unscheinbarsten Änderungen trifft alle, die sich mit Kerberos auf einem IIS auseinander setzen mussen. Meine SharePoint Installationen sind also in Zukunft davon betroffen. Der Internet Information Server 7 (IIS7) kommt in der Default Konfiguration mit der Einstellung “Enable Kernel-mode authentication” gleich ON daher. Damit unterscheidet sich das Auflosen der Service Principlal Names (SPN) drastisch von der Art, die der IIS6 durchfuhrt. Normalerweise wurde der SPN auf dem Application Pool (AppPool) Acount gesucht. Also auf einem Domain Acount oder auf dem Machine Account, wenn es der “Network Service” oder das “Local System” ist. Die Konfiguration auf einem IIS7 sieht nun so aus, dass die Auflosung mit “Kernel-mode authentication” immer den Machine Account heranzieht. Es ist ein Detail welches man einfach kennen sollte. Wichtig: In einer SharePoint NLB Farm muss man naturlich dieses Feature abschalten, da hier der SPN auf einem Domain Account sitzen muss, da die virtuelle NLB Instanz anders als ein echter Cluster nicht im AD als Objekt vetreten ist und somit auch nicht korrekt fur Kerberos und die Delegation konfiguriert werden kann. Das Setting kann aber uber den neuen IIS Manager einfach gesetzt werden. Mehr Info’s gibt es auch bei dem Kollegen Spencer Harbar:
Using Kerberos with SharePoint on Windows Server 2008
Ciao Marco