用于Kerberos身份验证的IIS日志监视

我们对网站使用Kerberos身份验证，它在大多数情况下都能正常运行。意味着我们仅启用Windows身份验证，并为提供程序使用协商，NTLM（按相同顺序）

但是有时候我们在应用程序中遇到问题，我们怀疑当Kerberos身份验证失败时会发生这种情况。 （主要用于iisreset之后的第一个调用）。仅当我们在负载均衡器后面有多个节点时，才会发生这种情况。

IIS日志中仍然存在，我可以查看是否存在实际的Kerberos身份验证失败？在IIS日志中，我可以看到sc状态为401的条目过多。

我后来读到的是401个响应，这是Kerberos身份验证的一部分。如果请求的第一个响应为401，则将使用相同的url和身份验证标头进行后续调用，对此我们应获得不同的sc_status响应（200或某些状态码）。即使在这种情况下，我们如何区分IIS日志中的第一个调用和第二个调用？