IIS 7.0中Kerberos支持的新特性与改进

本文档主要探讨了Windows Server 2008及IIS 7.0中关于Kerberos支持的新变化。在IIS 7中，与Kerberos相关的三个方面进行了显著调整： 1. 服务主体名称（SPNs）注册方式：以前，Web应用程序池需要在运行账户下注册SPNs。但在IIS 7中，这一过程有所简化。默认情况下，可以使用任何用户账户（自定义用户、Local System、Local Service或Network Service）运行应用程序池，而SPN则只需在活动目录中的机器账户下注册。这降低了对特定权限的需求，详情可在相关帖子中找到。 2. 协议转换权限：在IIS 7中，Web应用程序池不再需要Local System权限就能执行协议转换。通过使用Network Service账户，可以避免这个问题，提高了灵活性。 3. 身份验证配置：对于使用ASP.NET页面的`<identity impersonate="true" />`特性，如果启用集成模式管道且设置`validateIntegratedModeConfiguration`为`true`，可能会遇到500.24错误。为解决此问题，可以将验证设置为`false`，或者选择使用经典的Classic Mode Pipeline模式来运行应用。 另外，值得注意的是，Windows Server 2003 SP1引入了内核模式SSL，这是一个关键特性，它提升了IIS的安全性和性能，因为它允许SSL/TLS处理在操作系统的核心部分（即内核模式）执行，而非用户模式。这不仅提高了加密性能，还减少了由用户模式代码引发的安全漏洞风险。 IIS 7通过这些改进简化了Kerberos实施流程，增强了安全性，并提供了更好的用户体验。管理员在升级到IIS 7时，需要了解并适应这些新变化，以充分利用其带来的优势。