WCF WSHttpBinding SOAP安全协商失败

时间:2012-02-01 08:12:08

标签: c# asp.net .net vb.net wcf

我有一个相当简单的WCF自托管服务,使用WSHttpBinding只是拒绝工作。如果服务和客户端在同一台机器上运行就没有问题,但是一旦我将服务移动到window-server 2008,客户端就无法通过

进行通信尝试
  

异常

     

[System.ServiceModel.Security.SecurityNegotiationException] {“与目标'http:// hvw-svr-01 / SIT'的'http:// hvw-svr-01 / SIT'进行SOAP安全协商失败。见内部有关详细信息的例外情况。“}

     

INNER EXCEPTION

     

[System.ComponentModel.Win32Exception] {“安全支持提供程序接口(SSPI)协商失败。服务器可能未在标识为”host / hvw-svr-01“的帐户中运行。如果服务器正在运行服务帐户(例如网络服务),在服务器的EndpointAddress中将帐户的ServicePrincipalName指定为标识。如果服务器在用户帐户中运行,请在服务器的EndpointAddress中将帐户的UserPrincipalName指定为标识。“}

由于它是一个自托管服务,我想我需要指定UserPrincipalName,但无论我尝试使用该属性,它都无法工作。

  • 域\用户名
  • 域@用户名
  • 主机/本地主机
  • 主机/ HVW-SVR-01
  • ......等等

尝试使用不同的用户帐户,包括内置管理员。如果我尝试BasicHttpBinding而不是WSHttpBinding,一切都按预期工作。我在google(和stackoverflow)上阅读了大量有关该问题的文章,但我仍然无法确定问题是什么以及如何指定该身份。

编辑:服务App.Config 

   <system.serviceModel>
  <services>
     <service name="SIT.Communication.Gate">
        <host>
           <baseAddresses>
              <add baseAddress="http://localhost:2323/SIT" />
           </baseAddresses>
        </host>
        <endpoint address="" binding="wsHttpBinding" contract="SIT.Core.IGate">
           <identity>
              <dns value="localhost"/>
              <userPrincipalName value="XZDom\DGrain"/>
           </identity>
        </endpoint>
        <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange" />
     </service>
  </services>
  <behaviors>
     <serviceBehaviors>
        <behavior>
           <serviceMetadata httpGetEnabled="True"/>
           <serviceDebug includeExceptionDetailInFaults="True" />
        </behavior>
     </serviceBehaviors>
  </behaviors>

编辑:客户端本身基本上就是这个代码片段

        ChannelFactory<IGate> sitFactory = new ChannelFactory<IGate>(new WSHttpBinding(), new EndpointAddress("http://hvw-svr-01:2323/SIT"));
        IGate sitProxy = sitFactory.CreateChannel();
        bool pong = sitProxy.Ping(); <------ throws exception

3 个答案:

答案 0 :(得分:4)

要启用协商进程以选择用于网络身份验证的Kerberos协议,客户端应用程序必须提供SPN,用户主体名称(UPN)或NetBIOS帐户名作为目标名称。如果客户端应用程序未提供目标名称,则协商进程无法使用Kerberos协议。如果协商进程无法使用Kerberos协议,则协商进程将选择NTLM协议。

在跨域中,必须使用kerberos。由于服务作为本地系统帐户运行,因此必须在客户端使用SPN标识作为目标名称。

如需了解更多信息,请阅读http://support.microsoft.com/kb/929650

希望这有帮助!

答案 1 :(得分:3)

如果WSHttpBinding不是实际必需条件,则可以选择基本HTTP绑定。 :)

基本HTTP消除了<identiy>标记,因此不会发生UPN和SPN问题。

答案 2 :(得分:1)

我遇到了同样的问题,我尝试了web.config和IIS服务器中的几乎所有设置。 对我来说最好的方法是在创建客户端时设置UPN:

EndpointAddress endptAddress = 
               new EndpointAddress(
                  new Uri(your URL),
                  EndpointIdentity.CreateUpnIdentity("domain\username"));
相关问题
最新问题