Kerberos 林中搜索顺序不会在外部信任并返回事件 ID 17

症状

在 Windows Server 2008 R2 和更高版本的 Windows 服务器,可以使用下列组策略设置配置 Kerberos 林中搜索顺序 (KFSO):

计算机配置\管理模板\系统\Kerberos\使用目录林中搜索顺序
计算机配置\管理模板\系统\KDC\使用目录林中搜索顺序配置这些设置,请使用 Kerberos 身份验证可能会从事单一域目录林环境中的外部信任。但是,指定的林中包含多个域时它可能会失败。

在此情况下, InitializeSecurityContext可能会返回"SEC_E_TARGET_UNKNOWN"。此外,可能会记录以下事件︰

原因

KFSO 功能提供了便利的允许使用短名称 (主机名) 服务主体名称 (SPN) 解析在林信任的环境而不是通过外部信任提供 Kerberos 身份验证的支持。

Kerberos 身份验证是必需的如果林信任是必要的。外部信任,您必须更改应用程序使用 FQDN 的服务器名称和三部分 Spn。有关详细信息,请参阅。

当使用 FQDN 名称时,林信任对象能够根据请求中提供,这样,密钥分发中心 (KDC) 知道 Kerberos 推荐过程中的下一个跃点的 UPN/SPN 后缀路由 SPN。

详细信息

在已配置的 KFSO 的外部信任环境,KDC 或 Kerberos 客户端会尝试附加指定的后缀搜索,,然后发出DsCrackNames请求对目标目录林中来解析请求的 SPN。但是, DsCrackNames请求可能会尝试连接到任何目标目录林中的全局编录。如果该请求联系直接受信任的域中的域控制器,可能会导致 Kerberos 身份验证成功。如果该请求联系另一域中的域控制器,Kerberos 身份验证可能会失败。

此行为被预期行为,因为 KFSO 不是通过外部信任提供 Kerberos 身份验证支持。目录林之间使用 Kerberos 信任关系,而是创建林信任。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×