根据这篇 TechNet 文章https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-password-process-2/机器帐户(计算机对象)每 30 天重置一次内部密码。
我们假设该服务器正在运行带有 Kerberos SSO 的 IIS,因此它具有 SPN HTTP/server.domain.com,并且客户端已缓存用于访问该服务器上的资源的 Kerberos 票证。
如果 IIS 服务器密码的机器帐户每 30 天重置一次 - 它会使客户端上缓存的 Kerberos 票证无效并阻止访问,直到票证过期或使用“klist purge”在客户端上手动清除。
有解决方法吗? IIS 服务器可以强制客户端更新 Kerberos 票证吗?
答案1
IIS 服务器将无法解密票证,这将生成一个编码响应,其中包含指示密钥错误的错误代码。这将向客户端指示它需要清除并重试。
klist purge很少有真正需要的情况。
答案2
否。Kerberos 票证不会根据帐户密码进行验证。这基本上就是创建 Kerberos 的原因,这样就无需在每次访问请求时验证凭据。甚至可以为不存在的帐户创建和使用 Kerberos 票证。