在 Win/AD 中，kerberos 身份驗證是否要求服務帳戶相同？

我正在嘗試隔離我看到在 WireShark 跟踪中返回的 KRB5KDC_ERR_BADOPTION (13) 的原因。

我設置了一個 SPN 以將 xxx/server.fqdn:port 與目標伺服器上執行 xxx 服務的域帳戶相關聯（我們稱之為 domain\target）。將充當代理的伺服器服務在不同的服務帳戶（例如域\代理）上執行。這是允許的嗎？還是所有服務都需要在同一個服務帳戶下執行（即目標服務和中間人服務使用的服務帳戶使用相同的 AD 服務帳戶執行，並為這兩個服務設置適當的 SPN關聯到同一個 AD 服務帳戶）

不，它們不需要相同。但它們確實需要在同一個域中。請參閱http://blogs.technet.com/b/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx>。您可能會發現<http://blogs.technet.com/b/tristank/archive/2007/06/18/kdc-err-badoption-when-attempting-constrained-delegation.aspx很有用。

引用自：https://serverfault.com/questions/304342