测试网站是否正在使用Kerberos身份验证

Fiddler2 将指示身份验证头是否为NTLM与Kerberos。

    Authorization Header (Negotiate) appears to contain a Kerberos ticket:
60 82 13 7B 06 06 2B 06 01 05 05 02 A0 82 13 6F  `.{..+..... .o

    WWW-Authenticate Header (Negotiate) appears to be a Kerberos reply:
A1 81 A0 30 81 9D A0 03 0A 01 00 A1 0B 06 09 2A  ¡ 0 ....¡...*

我能想到的最简单的方法是使用wireshark监视网络包,并验证您的IIS服务器是否正在从您的DC请求Kerberos票据。

我发现在您使用Kerberos的代码中测试的一种方法是,NTLM的HTTP U授权头始终以以下开头:

Negotiate TlRMTVNTUA

如果头不是以文本开头,那么浏览器将使用Kerberos进行身份验证。

您可以在Web服务器的事件查看器中检查安全日志。

您还可以在客户机上启动Kerbaty并检查它是否使用了正确的SPN。路缘托盘可用 here (别担心,这不仅仅是Win2000)。

我使用事件查看器中的安全日志像前面提到的一样进行检查。以下是成功的路缘认证:

Successful Network Logon:
User Name:  {Username here}
Domain:     {Domain name here}
Logon ID:   (0x0,0x########)
Logon Type: 3
Logon Process:  Kerberos
Authentication Package: Kerberos
Workstation Name:   
Logon GUID: {########-####-####-####-############}
Caller User Name:   -
Caller Domain:  -
Caller Logon ID:    -
Caller Process ID: -
Transited Services: -
Source Network Address: -
Source Port:    -


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

好吧,negotiate也可以是kerberos,因为它是kerberos和ntlm的包装器。就像其他人说的,wireshark(或network monitor)和安全事件日志不会欺骗你。