Аутентификация между доменами

Question

у меня есть:

• служба, работающая под учетной записью пользователя domainA \ userA на hostA из домена A
• SPN, созданные для службы, работающей на хосте A для учетной записи пользователя domainA \ userA
• клиентская часть моего приложения пытается получить доступ к ресурсам (через удаленное взаимодействие) из службы, работающей на hostA
• но эта клиентская часть выполняется на хосте B из домена B и под учетной записью пользователя domainB \ userB

• соответствующие настройки делегирования выполнены для учетной записи пользователя домена A \ userA

  • доверено для делегирования
  • SPN установлены правильно, без дубликатов
  • домен A и домен B имеют двустороннее доверие

Я получаю эту ошибку:

• Произошла ошибка, специфичная для пакета secuity: неуказанная ошибка (0x80004005)

Не могли бы вы посмотреть, есть ли какие-либо настройки аутентификации, которые я пропустил?

Answer 1

Обратите внимание, что SPN «имя участника servICE» в AD отличается от SPN «имя участника servER», используемое для взаимной аутентификации в RPC. Документация MS иногда даже смешивает два.

Домен A и домен B находятся в одном и том же или в отдельных лесах?

Предоставлены ли домену B \ userB права на домен A и серверные компьютеры? Как сервис авторизует доменB \ userB для чего-либо?

На файловом сервере в домене A вы можете предоставить доступ к тестовому файлу для доменаB \ userB?

Вы пытались использовать UPN-синтаксис'userB@domainB.blah.blah'?

Answer 2

Этот пост Technet кажется похожим на то, что вы пытаетесь сделать, также сталкивается с той же ошибкой. Может предложить некоторую помощь!

http://social.technet.microsoft.com/forums/en-US/identitylifecyclemanager/thread/31951557-d201-4cd6-baad-d9db50af80a4/