none
[求助]如何让Exchange的身份验证通过Kerberos来认证 RRS feed

  • 问题

  • 我自己架设了一个Exchange服务器,身份认证选择的是Windows标准身份认证,系统是server 2003,而且开启了kerberos服务,但是我抓包测试的时候,找不到Kerberos认证的流程,仅仅能找到AS-REQ,AS-REP,TGS-REQ,然后就是error:KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN,说没有为此服务注册服务主体名称(SPN),请教下我该如何进行下去,Exchange新手,多谢大虾们指教。
    2011年4月19日 2:25

答案

  • 您好!

    SPN 是在 Exchange 服务器上运行的服务的唯一标识符。需要 Kerberos 身份验证的每个服务必须具备 SPN,以便客户端可以识别网络上的服务。在 Active Directory 目录服务中,其下运行有相应服务的每个帐户均分配了一个 SPN。默认情况下,Microsoft Outlook 和 Microsoft Outlook Web App 客户端使用 Kerberos 身份验证机制进行身份验证。如果 SPN 注册失败,则 Kerberos 身份验证也会失败,这样 Outlook 和 Outlook Web App 客户端无法通过 Exchange 服务的身份验证,并且用户无法登录邮箱。

    • 在 Exchange 服务器上的服务控制台中,确保 Microsoft Exchange 系统助理服务处于“已启动”状态。如果服务已处于“已启动”状态,请停止然后重新启动该服务。
    • 确保在域名系统 (DNS) 服务器上正确注册了记录此事件的服务器。
    • SPN 是使用远程过程调用 (RPC) 进行注册的。在应用程序日志中查看其他警告事件和错误事件,以便查明是否有 RPC 失败。
    • 作为解决办法,可以手动为事件描述中指定的服务配置 SPN。

    相关参考:

    http://technet.microsoft.com/zh-cn/library/bb217455(EXCHG.80).aspx

    http://support.microsoft.com/kb/927612/zh-cn


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2011年4月19日 8:31
    版主