问NTLM、Kerberos和F5交换机问题

EN

我支持一个基于IIS的应用程序，它被扩展到web和应用服务器中。web和应用程序都运行在IIS后面。当IIS被配置为通过Kerberos进行身份验证时，应用程序就具有NTLM功能。到目前为止还没出故障。

现在，我正在尝试引入两个F5交换机，一个在web前面，另一个在应用服务器前面。两个F5实例(比如ips 185和186)位于LINUX主机上。F5 to F5查找NAT IP (比如ips 194、195和196)。为包括NAT在内的所有IP创建一个DNS条目，并运行SETSPN命令在HTTP、主机和域级别注册要信任的IIS服务帐户。在打开网络F5并将每个Web服务器连接到一个主要的应用服务器之后，当用户连接到Web F5域名时，信任工作和用户身份验证就没有问题了。然而，当应用程序负载均衡器打开，web服务器指向新的F5应用程序域名时，用户将获得401。IIS日志不显示经过身份验证的用户名，并显示401状态。Wireshark确实显示了将票头传递到系统中的协商。

任何想法或建议都是非常感谢的。请指点。