Questão Kerberos do Active Directory KDC_ERR_S_PRINCIPAL_UNKNOWN

4

Estamos implementando um sistema em que nossos clientes são o Windows XP e nosso servidor é o Windows Server 2008 R2. Nossos clientes usam o DCOM para conectar componentes COM + em nosso Windows 2008 Server.

Funciona bem quando o usuário definido em nosso pacote COM + é um usuário local. No entanto, precisamos de acesso a compartilhamentos de rede no componente COM +, portanto, precisamos usar um usuário AD em nosso pacote COM +. Mas então temos o erro do Kerberos: KDC_ERR_S_PRINCIPAL_UNKNOWN

Então eu li que era um SPN ausente. Eu usei o monitor de rede para rastrear o nome desse SPN. Eu tenho um SNAME no seguinte formato: user @ domain (veja a tela)

Se eu executar o seguinte comando setspn -s user @ domínio domain \ user

diz que o nome é inválido. Espera um nome no seguinte formato: serviço \ host.

Alguém poderia me apontar o que estou fazendo de errado para depurar isso?

Observe também que tive um problema de pré-autenticação no meu log de eventos antes de ter esse problema. Desativei a pré-autenticação para o usuário em nosso anúncio.

Obrigado

link

    
por Simon 08.05.2013 / 21:35

1 resposta

2

Em vez de usar "usuário @ domínio", você deve usar a sintaxe conforme documentado aqui .

Encontrei os seguintes comandos (o parâmetro "-A" é alterado para "-s") neste article .

setspn -s DCOMService/DCOMServer Domain\DCOMServiceAccount
setspn -s DCOMService/DCOMServerFQDN Domain\DCOMServiceAccount
    
por 08.05.2013 / 22:50