Kerberos双跳委派在单次失败后仍然失败(Navision / MSSQL)

时间:2018-07-05 10:15:31

标签: sql-server kerberos navision kerberos-delegation

我已经在Microsoft Dynamics Navision 2009 R2服务器和MS SQL Server 2014之间建立了委派。这包括添加SPN并向适当的帐户授予委派权限。使用以下工具向Navision公开的Web服务发出请求时:http://blog.michelbarneveld.nl/michel/archive/2009/12/05/kerberos-authentication-tester.aspx一切正常。

如果我发出的请求虽然失败,例如来自另一个域,则原始请求(有效的)也开始失败。对于Web服务的所有尝试(即使使用另一个帐户),它仍会持续一段时间(在10分钟到一个小时之间)失败,直到突然突然为所有帐户重新开始工作。我有一个理论,那就是在委派期间会缓存某些内容,甚至是失败的尝试,但我对Kerberos的了解还不足以验证这一点。

我已经使用网络监视器来捕获中间件服务器(Navision)上的身份验证流量,这是三个屏幕截图。第一个是初始成功请求,第二个是要失败(并且确实要失败)的请求,最后一个是与第一个完全相同的请求,但是这次失败了。显然,它甚至都没有尝试使用Kerberos,而只是使用NTML,这使我怀疑某种缓存。

First attempt, succesfull

Second attempt, meant to fail, and does

Third attempt, identical to first, but fails

IP地址为:

192.168.2.134:中间件服务器

192.168.2.136:后端服务器

192.168.2.187:域控制器

关于可能会发生什么的任何想法?

0 个答案:

没有答案