堆栈内存溢出
  繁体   English   中英

WCF WSHttpBinding SOAP安全协商失败

[英]WCF WSHttpBinding SOAP Security Negotiation Failed

 原文  2012-02-01 08:12:08       c#/ asp.net/ .net/ vb.net/ wcf

问题描述

我有一个相当简单的WCF自托管服务使用WSHttpBinding只是拒绝工作。 如果服务和客户端在同一台机器上运行就没有问题,但是一旦我将服务移动到window-server 2008,客户端就无法通过

例外

[System.ServiceModel.Security.SecurityNegotiationException] {“与目标'http:// hvw-svr-01 / SIT'的'http:// hvw-svr-01 / SIT'进行SOAP安全协商失败。请参阅内部异常了解更多信息细节。”}

内部异常

[System.ComponentModel.Win32Exception] {“安全支持提供程序接口(SSPI)协商失败。服务器可能未在标识为”host / hvw-svr-01“的帐户中运行。如果服务器在服务帐户中运行(例如,网络服务),将帐户的ServicePrincipalName指定为服务器的EndpointAddress中的标识。如果服务器在用户帐户中运行,请在帐户的EndpointAddress中将帐户的UserPrincipalName指定为标识。“}

由于它是一个自托管服务,我想我需要指定UserPrincipalName,但无论我尝试该属性,它都无法工作。

  • 域\\用户名
  • 域@用户名
  • 主机/本地主机
  • 主机/ HVW-SVR-01
  • ... 等等

尝试使用不同的用户帐户,包括内置管理员。 如果我尝试BasicHttpBinding而不是WSHttpBinding,一切都按预期工作。 我在google(和stackoverflow)上阅读了大量有关该问题的文章,但我仍然无法确定问题是什么以及如何指定该身份。

编辑:服务App.Config 

   <system.serviceModel>
  <services>
     <service name="SIT.Communication.Gate">
        <host>
           <baseAddresses>
              <add baseAddress="http://localhost:2323/SIT" />
           </baseAddresses>
        </host>
        <endpoint address="" binding="wsHttpBinding" contract="SIT.Core.IGate">
           <identity>
              <dns value="localhost"/>
              <userPrincipalName value="XZDom\DGrain"/>
           </identity>
        </endpoint>
        <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange" />
     </service>
  </services>
  <behaviors>
     <serviceBehaviors>
        <behavior>
           <serviceMetadata httpGetEnabled="True"/>
           <serviceDebug includeExceptionDetailInFaults="True" />
        </behavior>
     </serviceBehaviors>
  </behaviors>

编辑:客户端本身基本上只是这个代码片段 

  ChannelFactory<IGate> sitFactory = new ChannelFactory<IGate>(new WSHttpBinding(), new EndpointAddress("http://hvw-svr-01:2323/SIT")); IGate sitProxy = sitFactory.CreateChannel(); bool pong = sitProxy.Ping(); <------ throws exception

3 个解决方案

解决方案1
 4 已采纳  2012-02-01 12:06:29

要使协商进程能够选择Kerberos协议进行网络身份验证,客户端应用程序必须提供SPN,用户主体名称(UPN)或NetBIOS帐户名作为目标名称。 如果客户端应用程序未提供目标名称,则协商进程无法使用Kerberos协议。 如果协商进程无法使用Kerberos协议,则协商进程将选择NTLM协议。

在跨域中,必须使用kerberos。 由于服务作为本地系统帐户运行,因此必须在客户端使用SPN标识作为目标名称。

有关更多信息,请阅读http://support.microsoft.com/kb/929650

希望这可以帮助!

解决方案2
 3  2012-10-11 04:01:21

如果WSHttpBinding不是实际必需条件,则可以选择基本HTTP绑定。 :)

基本HTTP消除了<identiy>标记,因此不会发生UPN和SPN问题。

解决方案3
 1  2016-07-01 09:51:16

我遇到了同样的问题,我尝试了web.config和IIS服务器中的几乎所有设置。 对我来说最好的方法是在创建客户端时设置UPN: 

EndpointAddress endptAddress = 
               new EndpointAddress(
                  new Uri(your URL),
                  EndpointIdentity.CreateUpnIdentity("domain\username"));

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 WCF wsHttpBinding证书安全协商异常 netTCP绑定Soap安全协商失败 WCF安全支持提供程序接口(SSPI)协商失败 WCF / wsHttpBinding / 消息安全 - BadTokenRequest 您可以使用SOAP和WSHttpBinding对WCF服务进行jQuery调用吗? 使用wsHttpBinding和Message Security与客户端凭据类型窗口负载平衡WCF WCF wsHttpBinding和XML签名 WCF服务:WSHttpBinding 在 wcf 中使用 wsHttpBinding 启用 session 如何在WCF soap响应中实现安全性令牌?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM