Не может добраться для конфигурирования Kerberos для Reporting Services
Возможно иметь и базу данных и сервер NFS, работающий на той же машине.
Если Ваш вопрос о локальном экспорте доли NFS, таким образом, та же машина может смонтировать его, это немного безумно. Необходимо получить доступ файлам локально без сложности, представленной, заставив операции пройти уровень NFS.
SPN должны быть настроены на компьютере или пользовательском объекте, представляющем идентификатор службы. Если рассматриваемая служба на server01 работает под сетевой службой, вы должны убедиться, что для учетной записи компьютера, представляющей server01, настроены правильные SPN. Вы можете проверить это, запустив «setspn -l server01 ». Сама команда может быть запущена из любого места, поскольку она будет разговаривать с контроллером домена и проверять атрибут LDAP объекта serviceprincipalname. Таким образом, вы можете запустить его с dc01 или server01 или где-нибудь еще, при условии, что у вас есть двоичный файл setspn.exe. Вы можете увидеть весь синтаксис, запустив «setspn /?»
. Если они не настроены (как проверено с помощью приведенной выше команды), вы должны добавить их, используя тот же двоичный файл, но с другим синтаксисом. Пример синтаксиса для "-A" переключатель, который добавляет значения, запустив « setspn -A http / server01 server01». В этом примере предполагается, что порт, под которым работает служба, - 80 или 443.
Необходимо соблюдать осторожность, чтобы имя участника-службы не было зарегистрировано где-либо еще в лесу AD, поскольку имя участника-службы должно быть уникальным. переключатель «-Q» может проверять присутствие SPN где угодно, когда вы выполняете что-то вроде «setspn -F -Q http / server01» .
В Wireshark или любом другом инструменте трассировки сети вы увидите только трафик Kerberos при условии, что у клиента еще нет кэшированного билета для ресурса, и при условии, что у него нет отрицательного кеша, указывающего на то, что SPN недоступен. Если вы попробовали это несколько раз, а затем запустили Wireshark, чтобы посмотреть, что происходит, если SPN полностью отсутствует, вероятно, задействован отрицательный кеш. В противном случае, если у вас уже есть кэшированный билет, он будет повторно использован, и никаких дополнительных билетов запрашиваться не будет.
Всегда очищайте кеш DNS на клиенте « ipconfig / flushdns » и кэш Kerberos « klist purge » перед выполнением трассировки сети для устранения неполадок. Это покажет трафик разрешения имен для местоположения KDC и попытается получить билет, если он не кэширован локально.
http://msdn.microsoft.com/en-us/library/cc281253.aspx выглядит как хороший ресурс на стороне SSRS. Для получения помощи Kerberos в устранении неполадок, пожалуйста, просмотрите сообщения блога askds, ориентированные на Kerberos, начиная с http://blogs.technet.com/b/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx . Затем просмотрите http: // blogs. technet.com/b/askds/archive/2008/05/29/kerberos-authentication-problems-service-principal-name-spn-issues-part-1.aspx и другие статьи по вашему усмотрению.
DC01 будет выдавать билеты при условии, что служба KDC запущена и может найти соответствующий SPn, зарегистрированный в его базе данных, и при условии, что он не дублируется где-либо еще в лесу. Значение должно быть уникальным. « setspn -x -f » можно просмотреть, чтобы проверить, не дублируется ли интересующее значение в лесу.
DC01 будет выдавать билеты при условии, что служба KDC запущена, и он может найти соответствующий SPn, зарегистрированный в его базе данных, и при условии, что он не дублируется где-либо еще в лесу. Значение должно быть уникальным. « setspn -x -f » можно просмотреть, чтобы проверить, не дублируется ли интересующее значение в лесу.
DC01 будет выдавать билеты при условии, что служба KDC запущена и может найти соответствующий SPn, зарегистрированный в его базе данных, и при условии, что он не дублируется где-либо еще в лесу. Значение должно быть уникальным. « setspn -x -f » можно просмотреть, чтобы проверить, не дублируется ли интересующее значение в лесу.