Windows
Active Directory Kerberos 問題 KDC_ERR_S_PRINCIPAL_UNKNOWN
我們正在實施一個系統,其中我們的客戶端是 Windows XP,我們的伺服器是 Windows Server 2008 R2。我們的客戶使用 DCOM 連接 Windows 2008 Server 中的 COM+ 組件。
當我們的 COM+ 包中定義的使用者是本地使用者時,它可以正常工作。但是,我們需要訪問 COM+ 組件中的網路共享,因此我們需要在我們的 COM+ 包中使用 AD 使用者。但是我們有 Kerberos 錯誤:KDC_ERR_S_PRINCIPAL_UNKNOWN
所以我讀到這是一個缺失的 SPN。我使用網路監視器來跟踪該 SPN 的名稱。我得到了以下格式的 SNAME:user@domain(見螢幕)
如果我執行以下命令 setspn -s user@domain domain\user
它說名稱無效。它需要以下格式的名稱:service\host。
任何人都可以指出我做錯了什麼來調試它?
另請注意,在我遇到此問題之前,我的事件日誌中存在預身份驗證問題。我在我們的 AD 中為使用者停用了預認證。
謝謝
http://filedb.experts-exchange.com/incoming/2013/05_w19/653312/screen-scan.JPG
您應該使用此處記錄的語法,而不是使用“user@domain” 。
我在這篇文章中找到了以下命令(“-A”參數改為“-s”)。
setspn -s DCOMService/DCOMServer Domain\DCOMServiceAccount setspn -s DCOMService/DCOMServerFQDN Domain\DCOMServiceAccount