Я пытаюсь изолировать причину появления KRB5KDC_ERR_BADOPTION (13), которое, как я вижу, возвращается в трассировке WireShark.
Я установил имя участника-службы, чтобы связать порт xxx / server.fqdn: port с учетной записью домена, под которой работает служба xxx на целевом сервере (назовем ее домен \ цель). Служба сервера, которая будет действовать как делегат, работает под другой учетной записью службы (например, домен \ делегат). Это разрешено? Или все службы должны работать под одной и той же учетной записью службы (то есть учетная запись службы, используемая как целевой службой, так и службой посредника, работает с одной и той же учетной записью службы AD, с соответствующими SPN, настроенными для обеих служб связанный с той же учетной записью службы AD)
Нет, они не должны быть одинаковыми. Но они должны находиться в одном домене. Видеть http://blogs.technet.com/b/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx . Вы можете найти http://blogs.technet.com/b/tristank/archive/2007/06/18/kdc-err-badoption-when-attempting-constrained-delegation.aspx полезно.