В нашей среде используется много аутентификаций Kerberos, которые в основном работают, но при включении ведения журнала ошибок Kerberos все еще появляется несколько ошибок. Больше всего меня беспокоят два KDC_ERR_S_PRINCIPAL_UNKNOWN, которые, согласно http://technet.microsoft.com/en-us/library/cc772897(WS.10).aspx заключается в том, что СЕРВЕР не находится в базе данных Kerberos. Предположим, что это домен corp.lan, два сообщения об ошибках относятся к имени сервера: app.corp.lan и dc1.corp.lan. Теперь, когда я выполняю setspn -l app, я получаю много spn, но ни одного для app.corp.lan. То же самое для dc1, setspn -l dc1 возвращает 15+ записей, setspn -l dc1.corp.lan возвращает ошибку. Является ли это «реальной» ошибкой, которую мы должны попытаться отследить и исправить, или это просто какое-то странное приложение, выполняющее неверные запросы Curb?
Вам необходимо проверить сообщения об ошибках, для какой службы эти SPN не зарегистрированы.
Это означает, что Kerberos Auth для этих сервисов не работает. Может быть, есть второй вариант NTLM, а может, и нет. Вы должны проверять это для каждой службы, возвращающей ошибку.
Я заметил, что иногда в сообщении об ошибке не отображается служба Kerberos, для которой запрашивается билет, поэтому вы можете использовать Ethereal, чтобы проверить это. Я бы хотел, чтобы в средстве просмотра событий был какой-то запрос (например, sql).
Если все работает, я обычно не беспокоюсь, но вы можете найти что-то под ковром позже, если вам когда-нибудь понадобится что-то сломанное, о чем вы никогда не знали.