Não, eles não precisam ser o mesmo. Mas eles precisam estar no mesmo domínio. Consulte o link . Você pode encontrar o link útil.
Estou tentando isolar a causa de um KRB5KDC_ERR_BADOPTION (13) que estou vendo voltar em um rastreio WireShark.
Eu configurei um SPN para associar xxx / server.fqdn: port à conta de domínio em que o serviço xxx está sendo executado no servidor de destino (vamos chamá-lo de domain \ target). O serviço do servidor que está agindo como o delegado está sendo executado em uma conta de serviço diferente (por exemplo, domínio \ delegado). Isso é permitido? Ou todos os serviços precisam estar sendo executados na mesma conta de serviço (ou seja, a conta de serviço que está sendo usada pelo serviço de destino e pelo serviço de meio-termo está sendo executada com a mesma conta de serviço do AD, com SPNs apropriados configurados para ambos os serviços) associado a essa mesma conta de serviço AD)