Kerberos 樹系搜尋順序可能不適用於外部信任,並傳回事件識別碼 17

狀況

在 Windows Server 2008 R2 和較新版本的 Windows Server 中,您可以用下列的 「 群組原則 」 設定,來設定 Kerberos 樹系搜尋順序 (KFSO):

電腦設定\系統管理範本\系統\Kerberos\使用樹系搜尋順序
電腦設定\系統管理範本\系統\KDC\使用樹系搜尋順序設定這些設定值,使用 Kerberos 驗證可能在單一網域樹系環境中的外部信任。不過,它可能會失敗時指定的樹系包含多個網域。

在此情況下, InitializeSecurityContext可能會傳回"SEC_E_TARGET_UNKNOWN"。此外,您可能會記錄下列事件︰

原因

「 KFSO 」 功能提供了簡短名稱 (主機名稱) 服務主要名稱 (SPN) 解析在樹系信任的環境,而不是透過外部信任提供此支援的 Kerberos 驗證所允許。

如果需要 Kerberos 驗證,樹系信任是必要的。在外部信任,您必須變更應用程式使用 FQDN 的伺服器名稱及三個部分的 Spn。如需詳細資訊,請參閱。

當使用 FQDN 名稱時,樹系信任物件可以提供根據要求中提供,好讓金鑰發行中心 (KDC) 知道 Kerberos 轉介程序中的下一個躍點的 UPN/SPN 尾碼路由的 SPN。

更多的資訊

在已設定的 KFSO 外部信任環境中,KDC 或的 Kerbero 用戶端嘗試附加指定的尾碼,以搜尋,請接著又它發出對目標樹系的DsCrackNames要求時解析要求的 SPN。不過, DsCrackNames要求可能會嘗試連線到目標樹系中任何通用類別目錄。如果要求連絡直接受信任網域的網域控制站,Kerberos 驗證可能會成功。如果要求連絡另一個網域的網域控制站,Kerberos 驗證可能會失敗。

這被預期的行為,因為 KFSO 不是透過外部信任提供 Kerberos 驗證支援。若要在樹系之間使用 Kerberos 信任,請改為建立樹系信任。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

Thank you for your feedback! It sounds like it might be helpful to connect you to one of our Office support agents.

×