NTLM、Kerberos、およびF5スイッチの問題

WebサーバーとアプリケーションサーバーにスケールアウトされるIISベースのアプリケーションをサポートしています。Webサーバーとアプリケーションの両方がIISの背後で実行されます。アプリケーションはIIS = Kerberosを介して認証するように構成されています。これまでのところ、問題なく機能しています。

今、私は2つのF5スイッチを持ち込もうとしています。1つはWebの前に、もう1つはアプリケーションサーバーの前にあります。 2つのF5インスタンス（たとえば、ips 185および186）がLINUXホスト上にあります。 F5からF5はNAT IP（ips 194、195、196など）を探します。NATを含むすべてのIPのDNSエントリを作成し、SETSPNコマンドを実行しましたIISサービスアカウントをHTTP、ホスト、ドメインレベルで信頼できるように登録します。WebF5をオンにし、各Webサーバーをカーディナルアプリサーバーに接続し、ユーザーがWebに接続する場合F5ドメイン名、信頼は機能し、ユーザーは問題なく認証されます。ただし、アプリロードバランサーがオンになっていて、Webサーバーが新しいF5アプリドメイン名を指すと、ユーザーは401を取得します。IIS log認証されたユーザー名を表示せず、401ステータスを表示します。Wiresharkは、システムに渡されたネゴシエートチケットヘッダーを表示します。

どんなアイデアや提案も大歓迎です。アドバイスをお願いします。