Недавно мы создали в AWS новую инфраструктуру с VPC, каталогом Windows, VPN-подключением между сайтами, One Way Domain Trust, экземплярами EC2 Windows и экземплярами RDS SQL Server.
Предположим, эти два домена:
ourawsdomain.com
onpremises.com
Вот пример одного из наших экземпляров RDS:
Endpoint: db01.8klj54dkdzy.us-west-2.rds.amazonaws.com
DNS Name: EC2AMAZ-H7YU3SD.ourawsdomain.com
Пользователи, входящие в ourawsdomain.com домен может получить доступ к экземплярам RDS, используя конечную точку или имя DNS.
Пользователи, входящие в onpremises.com домен может подключаться к экземплярам RDS только с помощью DNS-имени. При попытке подключиться с помощью Endpoint мы получаем следующую ошибку:
The target principal name is incorrect. Cannot generate SSPI context
Я провел массу поисков по этой теме, и, судя по моему чтению, это, возможно, проблема делегирования аутентификации Kerberos.
Если я выполню следующую команду:
setspn -L EC2AMAZ-H7YU3SD
Я вижу следующие SPN:
MSSQLSvc/EC2AMAZ-H7YU3SD.ourawsdomain.com:1433
MSSQLSvc/db01.ourawsdomain.com:1433
TERMSRV/EC2AMAZ-H7YU3SD
TERMSRV/EC2AMAZ-H7YU3SD.ourawsdomain.com
RestrictedKrbHost/H7YU3SD-D36INEB
HOST/EC2AMAZ-H7YU3SD
RestrictedKrbHost/EC2AMAZ-H7YU3SD.ourawsdomain.com
HOST/EC2AMAZ-H7YU3SD.ourawsdomain.com
Я пробовал использовать команду SetSPN для добавления конечной точки, но AWS не позволяет этого.
Странно то, что это работало совсем недавно, на прошлой неделе, а вдруг оказалось, что нет.
FWIW, конечная точка и имя DNS разрешаются на один и тот же IP-адрес.
Есть идеи, что здесь происходит?