我正在阅读 Microsoft 文章如何解决“无法生成 SSPI 上下文”错误消息
这两句话暗示如果我知道域是什么,我应该知道森林是什么,但我不知道。我用谷歌搜索了一下,发现的所有内容要么不相关(“只见树木不见森林”),要么没有解释该术语。
将 SPN 视为服务器资源中某个实例的域或林唯一标识符。
-
3.检查服务器所属的域和你连接的域帐号是否在同一个林中。这是 SSPI 工作所必需的。
AskOverflow.Dev
我正在阅读 Microsoft 文章如何解决“无法生成 SSPI 上下文”错误消息
这两句话暗示如果我知道域是什么,我应该知道森林是什么,但我不知道。我用谷歌搜索了一下,发现的所有内容要么不相关(“只见树木不见森林”),要么没有解释该术语。
将 SPN 视为服务器资源中某个实例的域或林唯一标识符。
-
3.检查服务器所属的域和你连接的域帐号是否在同一个林中。这是 SSPI 工作所必需的。
Active Directory 域是林中的组织单位。林只是域的集合,允许将域作为一个单元进行管理。
以上意味着 SPN(服务主体名称)在整个组织中应该是唯一的。这是强制执行的,因为林中的两个域不能具有相同的名称,因此,林中的两个 SPN不能具有相同的名称。
如果您尝试跨不属于同一林的域的 Kerberos 身份验证,则以上只会是一个问题;这可能发生在两家公司合并时,他们的 Active Directory 域没有被移动到一个单一的、统一的林中。
有关林和域的更多详细信息,请参见technet。