环境:
AD :1 台
ADFS:1台
后端(沙盒、异步服务):4台
前端:10台
数据库:1 台
最近在压测环境增加了7台前端服务器,安装完后可以通过浏览器访问,以为一切正常了,
后来发现插件有时候成功,有时候失败,遂在插件里面记录Trace信息,看关键信息大概是这样的:
System.Security.Authentication.AuthenticationException: A call to SSPI failed, see inner exception. ---> System.ComponentModel.Win32Exception: The target principal name is incorrect
经过检查,各项服务运行正常,网络配置正常,在后端服务器打开事件查看器的系统日志发现如下错误
到AD里面输入命令ADSIEDIT.MSC 检查各项服务所用的账号,看其注册的SPN是否正常。
结果发现新增的7台前端及重装过的一台前端缺少SPN,分别添加
HTTP/前端服务器名称
HTT/前端服务器名称.域名
问题解决。
异常说明:
前端服务器在通过注册再沙盒服务的插件访问后端时,携带CRM前端服务所用账号注册的服务主体名称(SPN)票证到后端,后端服务会把该票证到AD的KDS服务里面查找该SPN是否存在,因为前端的SPN没有注册,所以在AD里面找不到,导致后端无法认证前端的身份而不提供服务。
在Kerboras认证中,各项服务之间通讯,会携带SPN票证调用SSPI接口查询AD,以判断SPN是否存在、合法。