在多个域中配置kerberose-sso-negotiate

Question

我有mycorp.com，ch1.mycorp.com，mycorp2.com域(它是所有的windows)我正在配置sso-kerberose-协商身份验证我的服务器运行在mainaa3.mycorp2.com，我已经为它创建了spn“http:/mainaa3.mycorp2.com”，我已经设置了域之间的信任，但如果用户从mycorp.com，ch1.mycorp.com域的浏览器不发送协商票证，然后我已经创建了每个域的"http:/ mainaaa3.mycorp2.com“的spn，现在我有错误:机制级别:完整性检查解密字段失败(31)

我做错了什么？

Answer 1

SPN中不应该有分号，您应该有"http/mainaaa3.mycorp2.com“。然而，这可能不是你唯一的问题。

您应该在Server Fault上问这个问题，因为它与编程没有直接关系。