Active Directory Kerberos 问题 KDC_ERR_S_PRINCIPAL_UNKNOWN

Active Directory Kerberos 问题 KDC_ERR_S_PRINCIPAL_UNKNOWN

我们正在实施一个系统,其中我们的客户端是 Windows XP,我们的服务器是 Windows Server 2008 R2。我们的客户端使用 DCOM 连接我们的 Windows 2008 Server 中的 COM+ 组件。

当我们的 COM+ 包中定义的用户是本地用户时,它可以正常工作。但是,我们需要访问 COM+ 组件中的网络共享,因此我们需要在 COM+ 包中使用 AD 用户。但是我们遇到了 Kerberos 错误:KDC_ERR_S_PRINCIPAL_UNKNOWN

所以我读到它是一个缺失的 SPN。我使用网络监视器来跟踪该 SPN 的名称。我得到了一个以下格式的 SNAME:user@domain(见屏幕)

如果我运行以下命令 setspn -s user@domain domain\user

它说名称无效。它期望名称采用以下格式:service\host。

有人能指出我调试这个时做错了什么吗?

另请注意,在出现此问题之前,我的事件日志中有一个预身份验证问题。我在我们的 AD 中停用了用户的预身份验证。

谢谢

http://filedb.experts-exchange.com/incoming/2013/05_w19/653312/screen-scan.JPG

答案1

不要使用“user@domain”,而应使用文档中所述的语法这里

我在此发现了以下命令(“-A”参数更改为“-s”)文章

setspn -s DCOMService/DCOMServer Domain\DCOMServiceAccount
setspn -s DCOMService/DCOMServerFQDN Domain\DCOMServiceAccount

相关内容