Dynamics crm A call to SSPI failed, The target principal name is incorrect

环境：

AD :1 台

ADFS：1台

后端（沙盒、异步服务）：4台

前端：10台

数据库：1 台

最近在压测环境增加了7台前端服务器，安装完后可以通过浏览器访问，以为一切正常了，

后来发现插件有时候成功，有时候失败，遂在插件里面记录Trace信息，看关键信息大概是这样的：

System.Security.Authentication.AuthenticationException: A call to SSPI failed, see inner exception. ---> System.ComponentModel.Win32Exception: The target principal name is incorrect

 

经过检查，各项服务运行正常，网络配置正常，在后端服务器打开事件查看器的系统日志发现如下错误

到AD里面输入命令ADSIEDIT.MSC 检查各项服务所用的账号，看其注册的SPN是否正常。

结果发现新增的7台前端及重装过的一台前端缺少SPN，分别添加

HTTP/前端服务器名称

HTT/前端服务器名称.域名

问题解决。

 

异常说明：

前端服务器在通过注册再沙盒服务的插件访问后端时，携带CRM前端服务所用账号注册的服务主体名称（SPN）票证到后端，后端服务会把该票证到AD的KDS服务里面查找该SPN是否存在，因为前端的SPN没有注册，所以在AD里面找不到，导致后端无法认证前端的身份而不提供服务。

在Kerboras认证中，各项服务之间通讯，会携带SPN票证调用SSPI接口查询AD，以判断SPN是否存在、合法。