域之间的身份验证

Question

我有：

• 在 domainA 的 hostA 上的用户帐户 domainA\userA 下运行的服务
• 为在 hostA 上为用户帐户 domainA\userA 运行的服务创建的 SPN
• 我的应用程序的客户端部分正在尝试从 hostA 上运行的服务访问资源（通过远程处理）
• 但是这个客户端部分是在 hostB 上从 domainB 和用户帐户 domainB\userB 下运行的

• 为用户帐户 domainA\userA 完成了适当的委派设置

  • 受信任的委派
  • SPN 设置正确，没有重复
  • domainA 和 domainB 有两种方式的信任

我收到此错误：

• 发生了特定于安全包的错误：未指定的错误 (0x80004005)

能否请您看看我是否遗漏了任何身份验证设置？

Answer 1

这篇 technet 帖子似乎与您尝试做的类似，也遇到了同样的错误。可以提供一些帮助！

http://social.technet.microsoft.com/forums/en-US/identitylifecyclemanager/thread/31951557-d201-4cd6-baad-d9db50af80a4/

Answer 2

请注意，AD 中的 SPN“服务主体名称”不同于 RPC 中用于相互身份验证的 SPN“服务器主体名称”。 MS 文档有时甚至会将两者混为一谈。

domainA 和 domainB 是在同一个林中还是在不同的林中？

是否已授予 domainB\userB 对 domainA 和服务器计算机的任何权限？该服务将如何授权 domainB\userB 任何事情？

在 domainA 的文件服务器上，您可以将测试文件的访问权限授予 domainB\userB 吗？

您是否尝试过使用 UPN 语法“userB@domainB.blah.blah”？