我们已经在我们的环境中使用了大量的Kerberos身份validation,但似乎仍然有效,但是在打开Kerberos错误日志logging时仍然会popup一些错误消息。 最困扰我的两个都是KDC_ERR_S_PRINCIPAL_UNKNOWN根据http://technet.microsoft.com/en-us/library/cc772897(WS.10).aspx是SERVER不在Kerberos数据库。 假设corp.lan的域,这两个错误消息是针对servername:app.corp.lan和dc1.corp.lan的。 现在,当我做一个setspn -l应用程序时,我得到了很多spn,但是没有一个用于app.corp.lan。 相同的dc1,setspn -l dc1返回15 +logging,setspn -l dc1.corp.lan重build一个错误。 这是一个“真正的”错误,我们应该试图追查和修复,或者只是一些奇怪的应用程序做坏的请求?
您需要检查错误消息,了解这些SPN未注册的服务。
这意味着Kerberosauthentication将失败这些服务。 也许有一个NTLM的第二个选项,也许不是。 你应该检查这个服务返回一个错误。
我注意到,有时错误消息不显示门票正在请求的kerberos服务,所以你可以使用Ethereal来检查这一点。 我希望有一些查询(如SQL)到事件查看器。
如果一切工作,我通常不打扰,但如果你需要使用一些破碎的,你永远不知道的东西,你可以在以后find地毯的东西。