使用用于Kerberos的服务帐户运行Windows服务会导致错误1069"

时间:2016-03-10 15:32:40

标签: kerberos

我们正在尝试为BI工具实施Kerberos身份验证(在Windows 2008上使用DC安装在Windows 2012服务器上)。在使用“本地系统”运行特定于应用程序的Windows服务时,就身份验证而言,一切正常。但是当我们使用用于Kerberos的服务帐户时,我们会看到以下错误:

Error 1069: The service did not start due to a logon failure

运行ktpass命令后,'用户登录名称'服务帐户位于" servicePrincipalName'格式(例如:HTTP/machinename.domain.com@DOMAIN.COM)。因此,当使用此帐户运行服务时,我们尝试使用UPN和sAMAccountName格式,但没有运气。

还有几点:

我们尝试使用新的服务帐户(通过再次设置Kerberos)但具有相同的行为

  • 帐户在尝试运行服务的几次尝试后被锁定(正如预期的那样)但是解锁帐户并未产生正面结果
  • 重置密码
    • 无效
  • 服务帐户是“本地管理员”的一部分。分组并具有对应用程序文件夹的完全访问权限
  • 我们无法找到可能导致此问题的任何特定群组政策或限制(可能我们不会查看正确的位置)
  • 如果我们使用的常规服务帐户尚未用于Kerberos,则可以正常使用
  • 我们在事件日志
    • 中找不到任何有用的信息

奇怪的是 - 我无法在我的测试服务器上复制此行为,但这在我的客户端环境中是特定的。

我们的目标是能够将用户凭据从应用程序委派给不同的数据库(双跃点),并且使用服务帐户运行应用程序至关重要。

有没有人见过这样的问题?什么可能导致这样的行为?任何指针都非常感激。

0 个答案:

没有答案
相关问题
最新问题