服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在Win / AD中,kerberosauthentication是否要求服务帐号是一样的?
Intereting Posts
通过PowerCLI设置VM启动光盘 IIS6虚拟SMTP服务器在系统重新启动后不自动恢复 IIS7的理论极限 在用户可以login之前,如何获得networking连接才能完全加载? 是否可以在以其他用户身份login时查看用户的证书存储区? Windows Server 2008 R2 Office 2007networking共享访问被拒绝 在kickstart过程中升级Ubuntu puppet包 tomcat7 – 如何启用特定域的tomcatpipe理器 什么是本地交换 禁用并重新启用文件和打印机共享后如何恢复域控制器? 一个人怎么能得到一个单一的字符域? 如何诊断在关机时挂起的Windows PC? 防止将虚拟磁盘挂载到另一台计算机上 terminal服务服务器 缺省/服务器状态位置不在Apache中inheritance

在Win / AD中,kerberosauthentication是否要求服务帐号是一样的?

我试图找出一个KRB5KDC_ERR_BADOPTION(13)的原因,我正在看Wireshark跟踪。

我已经设置了一个SPN将xxx / server.fqdn:port与在目标服务器上运行xxx服务的域帐户关联(让我们称之为domain \ target)。 服务器服务将作为代理运行在不同的服务帐户(例如域\委托)上。 这是允许的吗? 或者所有的服务都需要在同一个服务帐号下运行(即目标服务和中间人服务使用的服务帐号都使用相同的AD服务帐号运行,同时为这两个服务设置了适当的SPN关联到同一个AD服务帐户)

不,他们不需要是一样的。 但他们确实需要在同一个领域。 请参阅http://blogs.technet.com/b/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx 。 您可能会发现http://blogs.technet.com/b/tristank/archive/2007/06/18/kdc-err-badoption-when-attempting-constrained-delegation.aspx有用。