Windows

Active Directory Kerberos 問題 KDC_ERR_S_PRINCIPAL_UNKNOWN

  • May 9, 2013

我們正在實施一個系統,其中我們的客戶端是 Windows XP,我們的伺服器是 Windows Server 2008 R2。我們的客戶使用 DCOM 連接 Windows 2008 Server 中的 COM+ 組件。

當我們的 COM+ 包中定義的使用者是本地使用者時,它可以正常工作。但是,我們需要訪問 COM+ 組件中的網路共享,因此我們需要在我們的 COM+ 包中使用 AD 使用者。但是我們有 Kerberos 錯誤:KDC_ERR_S_PRINCIPAL_UNKNOWN

所以我讀到這是一個缺失的 SPN。我使用網路監視器來跟踪該 SPN 的名稱。我得到了以下格式的 SNAME:user@domain(見螢幕)

如果我執行以下命令 setspn -s user@domain domain\user

它說名稱無效。它需要以下格式的名稱:service\host。

任何人都可以指出我做錯了什麼來調試它?

另請注意,在我遇到此問題之前,我的事件日誌中存在預身份驗證問題。我在我們的 AD 中為使用者停用了預認證。

謝謝

http://filedb.experts-exchange.com/incoming/2013/05_w19/653312/screen-scan.JPG

您應該使用此處記錄的語法,而不是使用“user@domain” 。

我在這篇文章中找到了以下命令(“-A”參數改為“-s”)。

setspn -s DCOMService/DCOMServer Domain\DCOMServiceAccount
setspn -s DCOMService/DCOMServerFQDN Domain\DCOMServiceAccount

引用自:https://serverfault.com/questions/506154