KRB_AP_ERR_MODIFIED - Kerberos失败,无法确定SPN问题
KRB_AP_ERR_MODIFIED - Kerberos失败,无法确定SPN问题
提问于 2019-09-05 23:22:08
首先,我不是一个网络guy...but没有网络专家,我现在负责一个网络服务器,所以我有很多东西要学。我试图让Kerberos正常工作(NTLM工作得很好),但在尝试进行身份验证时,首先出现了401“目标主体名称不正确”的错误。我启动了Kerberos日志记录,并有以下更详细的错误:
The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server
myserver$. The target name used was HTTP/myserver.na.mysite.com.
This indicates that the target server failed to decrypt the ticket
provided by the client. This can occur when the target server principal
name (SPN) is registered on an account other than the account the target
service is using. Ensure that the target SPN is only registered on the
account used by the server. This error can also happen if the target
service account password is different than what is configured on the
Kerberos Key Distribution Center for that target service. Ensure that the
service on the server and the KDC are both configured to use the same
password. If the server name is not fully qualified, and the target domain
(NA.MYSITE.COM) is different from the client domain (NA.MYSITE.COM),
check if there are identically named server accounts in these two domains,
or use the fully-qualified name to identify the server.然后我设置了SPNs,看看是否有重复的SPN,没有。我真的看不出这里有什么问题,它已经在使用完全限定的服务器名作为目标。关于下一步该怎么做,你有什么想法吗?
回答 1
Stack Overflow用户
发布于 2019-09-06 14:00:27
检查以下设置:
1)从iis中选择站点,并检查是否启用了windows身份验证和禁用了匿名。
2)为了为站点设置Kerberos,请确保“协商”位于“提供者”部分列表的顶部。
3)客户端和服务端域名一致。
4)修改启用UseKernelMode和useAppPoolCredentials的IIS
5)为您要使用的主机地址创建SPN。
6)将此服务配置到用于执行您的应用程序的应用程序池。
有关更多详细信息,请参阅this link如何在iis中设置Kerberos身份验证。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/57808593
复制相关文章
相似问题
腾讯云开发者
