Kernel-mode authnetication 对spn设置影响

问题定义：

　　在选择Kernel-mode authenticaiton以后，如果Application pool使用了custom identity，同时网站使用FQDN方式访问，此时设置spn以后可能导致Kerberos验证失败。

根本原因：

　　该选项是iis7的新增选项，选择以后，IIS server使用的是hostname来解密service ticket。

　　如果使用了setspn -a http/fqdn domain\account来为application pool的identity设置了spn，那么client发给IIS的ticket里面使用的是domain\account衍生出来的密钥进行的加密，而此时IIS试图使用hostname来进行解密，就会导致错误。