DCOM身份validation无法使用Kerberos，回到NTLM

我有一个经典的ASP编写的web服务。 在这个Web服务中，它试图通过DCOM在另一台服务器上创build一个VirtualServer.Application对象。 这与权限被拒绝失败。 不过，我有另一个组件在相同的远程服务器上的这个相同的web服务实例化，创build没有问题。 这个组件是一个定制的内部组件。

webservice从一个独立的EXE程序调用，它通过WinHTTP调用它。 已经证实，WinHTTP正在使用Kerberos对web服务进行身份validation。 用户身份validation到Web服务是pipe理员用户。 EXE到webserviceauthentication步骤是成功的，并与Kerberos。

我用DCOMCNFGvalidation了远程计算机上的DCOM权限。 默认限制允许pipe理员本地和远程激活，本地和远程访问，以及本地和远程启动。 默认组件权限允许相同。 这已经被validation。 工作组件的单个组件权限被设置为默认值。 VirtualServer.Application组件的单个组件权限也被设置为默认值。 基于这些设置，web服务应该能够实例化并访问远程计算机上的组件。

在运行这两个testing的同时设置Wireshark跟踪，一个与工作组件一起，另一个与VirtualServer.Application组件一起显示一个intresting行为。 当web服务正在实例化工作，定制，组件时，我可以看到RPCSS端点映射器上的请求首先执行TCP连接序列。 然后我看到它执行绑定请求与适当的安全包，在这种情况下kerberos。 在获得正在运行的DCOM组件的端点后，它通过Kerberos再次连接到DCOM端点进行身份validation，并成功地实例化和通信。

• ESXi主机的权限被拒绝
• VMware上的Ubuntu Server 11.4会定期挂起
• 是否可以从VM内检查OpenVZ * host *机器的CPU和RAM使用情况？
• 在Virtual Box上模拟NAT穿越
• 物理Debian到VMWare：vmware-converter，dd-image或其他？

在失败的VirtualServer.Application组件上，我再次看到具有Kerberos的绑定请求成功转到RPCC端点映射器。 但是，当它尝试连接到虚拟服务器进程中的端点时，它将无法连接，因为它只尝试使用NTLM进行身份validation，NTLM最终失败，因为Web服务无权访问凭据以执行NTLM哈希。

为什么它试图通过NTLM进行身份validation？

附加信息：

• 这两个组件通过DCOM在同一台服务器上运行
• 这两个组件在服务器上作为本地系统运行
• 这两个组件都是Win32服务组件
• 这两个组件具有完全相同的启动/访问/激活DCOM权限
• 两个Win32服务都设置为以本地系统运行
• 拒绝的权限不是权限问题，据我所知，这是一个身份validation问题。 权限被拒绝，因为NTLM身份validation与NULL用户名而不是Kerberos委派使用
• 受约束的委托设置在托pipeWeb服务的服务器上。
• 托pipeweb服务的服务器被允许委托给rpcss / dcom-server-name
• 承载web服务的服务器被允许委托给vssvc / dcom-server-name
• dcom服务器被允许委托给rpcss / webservice-server
• 在dcom服务器上注册的SPN包括rpcss / dcom-server-name和vssvc / dcom-server-name以及HOST / dcom-server-name相关的SPN
• 在webservice-server上注册的SPN包括rpcss / webservice-server和HOST / webservice-server相关的SPN

任何人都有任何想法，为什么试图在远程服务器上创build一个VirtualServer.Application对象回落到NTLM身份validation导致它失败，并获得权限被拒绝？

附加信息：当以下代码在web服务的上下文中运行时，直接通过仅testing的，刚刚开发的COM组件运行，它在具有拒绝访问的指定行上失败。

COSERVERINFO csi; csi.dwReserved1=0; csi.pwszName=L"terahnee.rivin.net"; csi.pAuthInfo=NULL; csi.dwReserved2=NULL; hr=CoGetClassObject(CLSID_VirtualServer, CLSCTX_ALL, &csi, IID_IClassFactory, (void **) &pClsFact); if(FAILED( hr )) goto error1; // Fails here with HRESULT_FROM_WIN32(ERROR_ACCESS_DENIED) hr=pClsFact->CreateInstance(NULL, IID_IUnknown, (void **) &pUnk); if(FAILED( hr )) goto error2; 

我也注意到，在Wireshark Traces中，我看到连接到服务进程组件的尝试只请求 NTLMSSP身份validation，它甚至不会使用Kerberos。 这表明，由于某种原因，Web服务认为它不能使用Kerberos …