好的,场景是这样的:
- IIS 作为 ServiceAccount 在 SERVERWEB 上运行 Web 应用程序。
- Web 应用程序作为 ServiceAccount 连接到 SERVERSQL 上的 SQL。
- 在 SQL 会话中,执行 SSIS 包。SSIS 包尝试连接到 SERVERFILE 上的网络共享。NTFS 权限允许 ServiceAccount 连接。SSIS 包使用会话凭据(即 ServiceAccount)运行。
- 与 SERVERFILE 的连接失败。SERVERFILE 上的事件日志显示尝试使用匿名登录进行连接。
所以,显然是双跳问题,对吧?我哪里做错了?
- 所有服务器和服务帐户都在同一个域中。
- 域正在 Server 2016 上运行。
- 服务帐户是 gMSA。
- 我已经运行
Set-ADAccountControl -identity ServiceAccount$ -TrustedForDelegation $true -TrustedToAuthForDelegation $false以启用不受约束的委派。
答案1
尝试了各种方法后,答案最终是“不要使用 gmsa”。我切换到使用常规服务帐户,一切正常。