Привет!

Помогите понять, а может даже и вылечить!

Есть WebAPI приложение.
Если оно в IIS смонтировано как самостоятельный сайт ( http://MyDomain -API/ ), то всё в порядке.
Если же монтируем в IIS как виртуальную подпапку другого приложения ( http://MyDomain /API ), то перестает работать kerberos аутентификация.
Т.е. все запросы приходят уже в IIS НЕ аутентифицированным (убедился анализируя логи самого IISa - вместо имени пользователя в логах IISа стоит "-").

Настройки в обоих вариантах идентичные:
- разрешены анонимная и windows аутентификация.
- В windows: negotiate и NTLM провайдеры (порядок менял - не помогает)
- вызов анонимных методов отрабатывает, требующих аутентификации - нет
Если оставить только NTLM, то всё работает, но нам нужны оба.
Еще такой момент - если включены оба провайдера windows аутентификации, то в IE все работает (он использует NTLM по умолчанию), а в CHROME нет (он использует negotiate по умолчанию).

Есть сильные подозрения, что у клиента что-то на системном сетевом уровне перемудрено, но может и у нас - помогите разобраться, please!

Ни у кого никакой идеи?

monstrUоба приложения в разных пулах или нет ? попробуйте занести в один оба
Оба в одном

Решилось - системный админ пришел и что-то там подкрутил в окошке CMD.EXE на уровне impersonalisation для service principal. Там еще URLы наших приложений мелькали, я не очень понял.