タイプ KerbRetrieveEncodedTicketMessage の KERB_RETRIEVE_TKT_REQUEST で LsaCallAuthenticationPackage を使用しています。
Windows ID を偽装し、LsaCallAuthenticationPackage を使用してチケットを取得します。
制約のない委任を使用すると、チケット (tgt およびサービス チケット) を取得できます。制約付き委任を試みると、LsaCallAuthenticationPackage への呼び出しが次のエラーで失敗します: LsaStatus 2148074254: 指定されたログオン セッションが存在しません。すでに終了している可能性があります
当社のサービスは、統合 Windows 認証を介して最初の Windows ID を受け取ります。
制約付き委任構成と SPN を確認して再確認しました...すべて問題ないようです。
IWA を使用すると、サービス アカウントが制約付き委任を使用するように設定されるとすぐに、WindowsIdentity の偽装レベルが委任から偽装に変わることがわかりました (これは、私たちの問題に関連する場合と関連しない場合があります)。ID を受け取る非 IIS でホストされる WCF Web サービスを実行しています。
制約付き委任を使用するときにチケットを取得するために実行する必要がある KERB_RETRIEVE_TKT_REQUEST のセットアップに違いがあるかどうか疑問に思っています。
あるいは、別の方法で行う必要がある WCF セットアップが存在する可能性があります。
ありがとう、