伺服器上的機器帳戶密碼重置和客戶端上的無效 Kerberos 票證

根據這篇 TechNet 文章https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-password-process-2/機器帳戶（電腦對象）每 30 天重置一次內部密碼。

假設此伺服器正在執行帶有 Kerberos SSO 的 IIS，因此它具有 SPN HTTP/server.domain.com，並且客戶端已記憶體了用於訪問此伺服器上的資源的 Kerberos 票證。

如果 IIS 伺服器密碼的電腦帳戶每 30 天重置一次 - 它會使客戶端上記憶體的 Kerberos 票證無效並阻止訪問，直到票證過期或使用“klist purge”在客戶端上手動清除。

有解決方法嗎？IIS 伺服器可以強制客戶端更新 Kerberos 票嗎？

IIS 伺服器將無法解密票證，這將生成包含錯誤程式碼的編碼響應，指示密鑰錯誤。這將向客戶端指示它需要清除並重試。

很少有klist purge實際需要的情況。

不會。不會根據帳戶密碼驗證 Kerberos 票證。這本質上就是創建 Kerberos 的原因，因此不需要在每個訪問請求上驗證憑據。甚至可以創建 Kerberos 票證並將其用於不存在的帳戶。

引用自：https://serverfault.com/questions/949256