我们有一个使用 URL https:\destination.domain\Service1.svc 连接到 Web 服务 (service1.svc) 的客户端。此 Web 服务使用 URL https:\localhost.domain\service2.asmx 连接到第二个 Web 服务 (service2.asmx)。这两项服务都托管在同一个网络服务器上。域控制器上的 DNS 将 destination.domain 设置为指向 webserver 的 IP,并将 localshost.domain 设置为 127.0.0.1。应用程序池帐户是配置为允许委派的全局服务托管帐户,称为 webserveraccount。应用程序池配置为使用 appPoolIdentity。
我们看到连接到第二个 Web 服务 (service2.asmx) 的 401 授权错误。我还看到了一个 KDC_ERR_BADOPTION,这让我觉得我们的 SPN 配置不正确。在上述情况下,SPN 的正确格式是什么?或者这不是与 kerberos 相关的问题吗?