我们正在尝试为BI工具实施Kerberos身份验证(在Windows 2008上使用DC安装在Windows 2012服务器上) . 当使用“本地系统”运行特定于应用程序的Windows服务时,一切正常,但是当我们使用用于Kerberos的服务帐户时,我们会看到以下错误:

Error 1069: The service did not start due to a logon failure

运行ktpass命令后,服务帐户的“用户登录名”采用“servicePrincipalName”格式(例如:HTTP /machinename.domain.com@DOMAIN.COM) . 因此,当使用此帐户运行服务时,我们尝试使用UPN和sAMAccountName格式,但没有运气 .

还有几点要点:

我们尝试使用新的服务帐户(通过再次设置Kerberos)但具有相同的行为

  • 帐户在尝试运行服务的几次尝试后被锁定(正如预期的那样)但是解锁帐户没有产生任何积极结果

  • 重置密码也不起作用

  • 服务帐户是'Local Admin'组的一部分,可以完全访问应用程序文件夹

  • 我们无法查看正确的位置)

  • 如果我们使用尚未用于Kerberos的常规服务帐户,它可以正常工作

  • 我们在事件日志中找不到任何有用的信息

奇怪的是 - 我不能在我的测试服务器上复制这种行为,但这在我的客户端环境中是特定的 .

我们的目标是能够将用户凭据从应用程序委派给不同的数据库(双跳),并且使用服务帐户运行应用程序至关重要 .

有没有人见过这样的问题?什么可能导致这样的行为?任何指针都非常感激 .

kerberos