我们正在尝试为BI工具实施Kerberos身份验证(在Windows 2008上使用DC安装在Windows 2012服务器上) . 当使用“本地系统”运行特定于应用程序的Windows服务时,一切正常,但是当我们使用用于Kerberos的服务帐户时,我们会看到以下错误:
Error 1069: The service did not start due to a logon failure
运行ktpass命令后,服务帐户的“用户登录名”采用“servicePrincipalName”格式(例如:HTTP /machinename.domain.com@DOMAIN.COM) . 因此,当使用此帐户运行服务时,我们尝试使用UPN和sAMAccountName格式,但没有运气 .
还有几点要点:
我们尝试使用新的服务帐户(通过再次设置Kerberos)但具有相同的行为
-
帐户在尝试运行服务的几次尝试后被锁定(正如预期的那样)但是解锁帐户没有产生任何积极结果
-
重置密码也不起作用
-
服务帐户是'Local Admin'组的一部分,可以完全访问应用程序文件夹
-
我们无法查看正确的位置)
-
如果我们使用尚未用于Kerberos的常规服务帐户,它可以正常工作
-
我们在事件日志中找不到任何有用的信息
奇怪的是 - 我不能在我的测试服务器上复制这种行为,但这在我的客户端环境中是特定的 .
我们的目标是能够将用户凭据从应用程序委派给不同的数据库(双跳),并且使用服务帐户运行应用程序至关重要 .
有没有人见过这样的问题?什么可能导致这样的行为?任何指针都非常感激 .