Я использую DCOM для предоставления различных приложений в сети Windows, используя Kerberos для проверки подлинности. Обычно система работает нормально, но я сталкиваюсь с проблемами доступа к сервису из отдельного (доверенного) домена. В частности, служба не может выполнить обратные вызовы в клиентское приложение, получив сообщение об ошибке «Произошла ошибка конкретного пакета безопасности». Кроме того, если я настраиваю службу специально для проверки подлинности Kerberos (вместо использования SNEGO/negotiate), клиент не может даже позвонить на сервер (снова получая «произошла ошибка конкретного пакета безопасности»).Требуется ли SPN при использовании Kerberos с DCOM?
Путаница заключается в том, что все работает годами без проблем. Однако здесь несколько разных вещей, по сравнению с тем, что мы делали раньше. Во-первых, на серверах работает Windows 2008, которые я ранее не использовал. Кроме того, как отмечалось выше, ошибки возникают только при обращении к службе из учетной записи из отдельного домена, и предыдущее использование никогда не пыталось это сделать.
Теперь на вопрос: я не использую SPN (имя участника службы) для этой службы DCOM, но некоторые из ошибок и журналов событий заставляют меня думать, что это может быть проблемой. Тем не менее, все документы, которые я нашел, неясны в отношении того, правильно ли это или как я настроил SPN, если мне это нужно. Кто-нибудь знает наверняка, является ли SPN тем, что мне здесь не хватает? Если да, можете ли вы указать мне, как это должно быть сделано?
Дополнительная информация:
Для сценария, когда сервер установлен на принудительную аутентификацию Kerberos, включение Extended RPC Debugging дает некоторые дополнительные подсказки. Клиент может успешно подключиться с использованием CoCreateInstanceEx, но вызывает сбой интерфейса службы, как указано выше. В записях ошибок RPC отображается ошибка в местоположении 140, а код ошибки - 0x80090303 («Указанная цель неизвестна или недоступна»), а третий параметр для этой записи - пустая строка. Это указывает на отсутствие SPN в качестве виновника.
Спасибо за информацию. Я ранее пробовал регистрацию в Kerberos (и некоторые другие журналы, о которых я читал), но никогда не мог справиться с этой проблемой. – Charlie
Дальнейшее подтверждение: http://technet.microsoft.com/en-us/library/cc772815(v=ws.10).aspx говорит: «Без должным образом установленного SPN аутентификация Kerberos невозможна». – Charlie
Наконец-то обновлено это ... SPN-отображения в CN = Служба каталогов, CN = Windows NT, CN = Сервисы, CN = Конфигурация, DC = MyDC, DC = com > sPNMappings: host = alerter, appmgmt, cisvc, clipsrv, browser, dhcp, dnscache, replicator, eventlog, eventystem, policyagent, oakley, dmserver, dns, mcsvc, fax, msiserver, ias, messenger, netlogon, ne tman, netdde, netddedsm, nmagent, plugplay, protectedstorage, rasman, rpclocator, rpc, rpcss, remoteaccess, rsvp, samss, scardsvr, scesrv, seclogon, scm, dcom, cifs, spooler, snmp, schedule, tapisrv, trk svr, trkwks, ups, time, wins, www, http, w3svc, iisadmin, msdtc Источник: http://blog.joeware.net/2008/07/17/1407/ –