Autenticación de Windows a IIS en el servidor local con url totalmente calificada

Tengo una aplicación web configurada en IIS 7 configurada con la autenticación de Windows. Puedo autenticarme en la máquina a través de su URL totalmente calificada desde cualquier otra máquina y utiliza el Dominio adecuado. Sin embargo, cuando intento conectarme a la máquina desde el dominio completo (ya sea en otro servicio o solo a través de la URL en IE), el mensaje de inicio de sesión de Windows intenta forzar el uso de la computadora como dominio, y no dominio adecuado para iniciar sesión. Intentando especificar el dominio con domain\usernameo username@domain.comfalla.

Debo tener en cuenta que la visualización de la aplicación web a través localhostde la máquina funciona, pero el uso de la site.company.com/webserviceURL de estilo completo no funciona en la máquina local, porque el dominio de inicio de sesión es incorrecto. ¿Qué puedo hacer para que use el dominio de inicio de sesión adecuado?

Estaba tratando de hacer lo mismo. Acceda a un sitio web en el IIS local utilizando un FQDN y me siguen diciendo dónde ir por IIS.

De todos modos, desde mi búsqueda, debe deshabilitar la verificación de bucle de retorno para los sitios web locales de IIS.

Consulte la siguiente página de soporte de Microsoft .

En caso de que la página se pierda, hice lo siguiente (que es lo que recomienda en la publicación de blog anterior)

1. Abra el editor de registro escribiendo regedit en Ejecutar.
2. Navegue a HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ MSV1_0
3. Haga clic con el botón derecho en MSV1_0 y haga clic en Nuevo y elija convertirlo en un valor de cadenas múltiples.
4. Ingrese BackConnectionHostNames como nombre para la entrada y haga doble clic para modificarla.
5. Escriba los nombres de host que necesita usar (code-journey.com, por ejemplo).
6. Reinicie el Servicio IISAdmin ("Inicio" -> "Herramientas administrativas" -> "Servicios")

Espero que esto ayude.

cmb ..

Esto se debe a una característica de seguridad conocida como LoopbackCheck.

Mensaje de error cuando intenta acceder a un servidor localmente utilizando su FQDN o su alias CNAME después de instalar Windows Server 2003 Service Pack 1: "Acceso denegado" o "Ningún proveedor de red aceptó la ruta de red dada"
http://support.microsoft .com / kb / 926642

Hay dos resoluciones:

Método 1 (recomendado): cree los nombres de host de la Autoridad de seguridad local a los que se puede hacer referencia en una solicitud de autenticación NTLM. Para hacer esto, siga estos pasos para todos los nodos en la computadora cliente:

1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y luego haga clic en Aceptar.
2. Busque y haga clic en la siguiente subclave del registro: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ MSV1_0
3. Haga clic con el botón derecho en MSV1_0, seleccione Nuevo y luego haga clic en Valor de cadenas múltiples.
4. En la columna Nombre, escriba BackConnectionHostNames y presione ENTRAR.
5. Haga clic con el botón derecho en BackConnectionHostNames y luego haga clic en Modificar.

6. En el cuadro Información del valor, escriba CNAME o el alias DNS, que se usa para los recursos compartidos locales en la computadora, y luego haga clic en Aceptar.

   Nota: Escriba cada nombre de host en una línea separada.

   Nota: Si la entrada de registro BackConnectionHostNames existe como un tipo REG_DWORD, debe eliminar la entrada de registro BackConnectionHostNames.

7. Salga del Editor del registro y luego reinicie la computadora.

Método 2: deshabilite la verificación de bucle de autenticación mediante la configuración de la entrada de registro DisableLoopbackCheck en la subclave de registro HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa en 1. Para establecer la entrada de registro DisableLoopbackCheck en 1, siga estos pasos en el equipo cliente:

1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y luego haga clic en Aceptar.
2. Busque y haga clic en la siguiente subclave del registro: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa
3. Haga clic con el botón derecho en Lsa, seleccione Nuevo y luego haga clic en Valor DWORD.
4. Escriba DisableLoopbackCheck y presione ENTRAR.
5. Haga clic con el botón derecho en DisableLoopbackCheck y luego haga clic en Modificar.
6. En el cuadro Información del valor, escriba 1 y luego haga clic en Aceptar.
7. Salga del Editor del Registro.
8. Reinicia la computadora.

Puedo decirle, en base a cierta experiencia en la configuración de SSO, que IE pasará automáticamente un ticket de Kerberos para iniciar sesión solo si el sitio y el cliente están juntos en la intranet, o si el sitio está en la zona de confianza. Si IE ve http://site.company.com/webservice , asumirá que el sitio está en Internet y no pasará las credenciales para iniciar sesión.

Hay información útil en este enlace sobre IIS, IE y Kerberos. http://blogs.msdn.com/b/friis/archive/2009/12/31/things-to-check-when-kerberos-authentication-fails-using-iis-ie.aspx

Encontramos dos cosas que funcionan para permitir que el FQDN en la intranet sea proporcionar un certificado al servidor web y usar SSL, o agregarlo a la Zona de confianza.

Espero que esto ayude en relación con su configuración.