Active-Directory
伺服器上的機器帳戶密碼重置和客戶端上的無效 Kerberos 票證
根據這篇 TechNet 文章https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-password-process-2/機器帳戶(電腦對象)每 30 天重置一次內部密碼。
假設此伺服器正在執行帶有 Kerberos SSO 的 IIS,因此它具有 SPN HTTP/server.domain.com,並且客戶端已記憶體了用於訪問此伺服器上的資源的 Kerberos 票證。
如果 IIS 伺服器密碼的電腦帳戶每 30 天重置一次 - 它會使客戶端上記憶體的 Kerberos 票證無效並阻止訪問,直到票證過期或使用“klist purge”在客戶端上手動清除。
有解決方法嗎?IIS 伺服器可以強制客戶端更新 Kerberos 票嗎?
IIS 伺服器將無法解密票證,這將生成包含錯誤程式碼的編碼響應,指示密鑰錯誤。這將向客戶端指示它需要清除並重試。
很少有
klist purge
實際需要的情況。
不會。不會根據帳戶密碼驗證 Kerberos 票證。這本質上就是創建 Kerberos 的原因,因此不需要在每個訪問請求上驗證憑據。甚至可以創建 Kerberos 票證並將其用於不存在的帳戶。