Ich erhielt die folgenden Fehler, wenn sie auf einem Remote-Server gehostet einem WCF-Dienst verbindet:

System.ServiceModel.Security.SecurityNegotiationException: SOAP-Sicherheitsaushandlung mit "für die Ziel 'ist fehlgeschlagen. Siehe innere Ausnahme für weitere Details. -> System.ComponentModel.Win32Exception: Security Support Provider Interface (SSPI) Authentifizierung fehlgeschlagen. Der Server kann mit Identität "Host / Server" auf einem Konto ausgeführt werden, nicht. Wenn der Server in einem Dienstkonto (Network Service zum Beispiel) ausgeführt wird, geben Sie die serviceKonto als Identität in der EndpointAddress für den Server. Wenn der Server in einem Benutzerkonto ausgeführt wird, geben Sie die Userprincipalname Konto als Identität in der EndpointAddress für den Server. bei System.ServiceModel.Security.WindowsSspiNegotiation.GetOutgoingBlob (Byte [] incomingBlob) bei System.ServiceModel.Security.SspiNegotiationTokenProvider.GetNextOutgoingMessageBody (Message incoming, SspiNegotiationTokenProviderState sspiState) bei System.ServiceModel.Security.IssuanceTokenProviderBase1.GetNextOutgoingMessage (Messageincoming, T negotiationState) bei System.ServiceModel.Security.IssuanceTokenProviderBase1.DoNegotiation (Timespan timeout) - Ende der internen Ausnahmestapelüberwachung - Server-Stack-Trace: bei System.ServiceModel.Security.IssuanceTokenProviderBase1.DoNegotiation (Timespan Timeout) bei System.ServiceModel. Security.SspiNegotiationTokenProvider.OnOpen (Timespan Timeout) bei System.ServiceModel.Security.WrapperSecurityCommunicationObject.OnOpen (Timespan Timeout) bei System.ServiceModel.Channels.CommunicationObject.Open (Timespan Timeout) bei System.ServiceModel.Security.CommunicationObjectSecurityTokenProvider.Open (Timespan-Timeout ) bei System.ServiceModel.Security.SecurityUtils.OpenTokenProviderIfRequired (Security tokenProvider, Span Timeout) bei System.ServiceModel.Security.SymmetricSecurityProtocol.OnOpen (Timespan Timeout) bei System.ServiceModel.Security.WrapperSecurityCommunicationObject.OnOpen (Timespan Timeout) beiSystem.ServiceModel.Channels.CommunicationObject.Open (Timespan Timeout) bei System.ServiceModel.Channels.SecurityChannelFactory1.ClientSecurityChannel1.OnOpen (Timespan Timeout) bei System.ServiceModel.Channels.CommunicationObject.Open (Timespan Timeout) bei System.ServiceModel.Security.SecuritySessionSecurityTokenProvider.DoOperation(SecuritySessionOperation Betrieb, EndpointAddress Ziel, Uri über, Security currentToken, Span Timeout) bei System.ServiceModel.Security.SecuritySessionSecurityTokenProvider.GetTokenCore (Timespan Timeout) bei System.IdentityModel.Selectors.SecurityTokenProvider.GetToken (Timespan Timeout) bei System.ServiceModel.Security.SecuritySessionClientSettings1.ClientSecuritySessionChannel.OnOpen(TimeSpan Timeout) bei System.ServiceModel.Channels.CommunicationObject.Open (Timespan Timeout) bei System.ServiceModel.Channels.ServiceChannel.OnOpen (Timespan Timeout) bei System.ServiceModel.Channels.CommunicationObject.Open (Timespan timeout)beim System.ServiceModel.Channels.ServiceChannel.CallOpenOnce.System.ServiceModel.Channels.ServiceChannel.ICallOnce.Call(ServiceChannel Kanal, Span Timeout) bei System.ServiceModel.Channels.ServiceChannel.CallOnceManager.CallOnce (Timespan-Timeout, CallOnceManager Kaskade) bei System.ServiceModel.Channels.ServiceChannel.EnsureOpened (Timespan Timeout) bei System.ServiceModel.Channels.ServiceChannel.Call (String Aktion, Boolean oneway, ProxyOperationRuntime Betrieb, Object [] Ins, Object [] outs, Timespan-Timeout) bei System.ServiceModel.Channels.ServiceChannel.Call (String Aktion, Boolean oneway, ProxyOperationRuntime Betrieb, Object [] Ins, Object [] outs ) bei System.ServiceModel.Channels.ServiceChannelProxy.InvokeService (IMethodCallMessage method, ProxyOperationRuntime Betrieb) bei System.ServiceModel.Channels.ServiceChannelProxy.Invoke (IMessage Meldung) Ausnahme erneut ausgelöst bei [0]: bei System.Runtime.Remoting.Proxies.RealProxy. HandleReturnMessage (IMessage reqMsg,IMessage retMsg) bei System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke (Message & MsgData, Typ Int32) bei DevSQL.Replicator.SignalerSvc.ISignaler.Ping () bei DevSQL.Replicator.SignalerSvc.SignalerClient.Ping () in ... SignalerSvc \ Reference.cs: Linie bei DevSQL.Replicator.BackupUtility.signalRemoteServers 118 () in ... \ BackupUtility.cs: Linie 84

Das .NET Framework 3.5 SP1 Readme gibt die Antwort:

2.3.2.2 Brechen von Änderungen in der SspiNegotiatedOverTransport Authentifizierungsmodus Wenn WSHttpBinding, WS2007HttpBinding oder NetTcpBinding wird verwendet, mit Security = TransportWithMessageCredential und einem Client Legitimierungsart von Windows-Clients, die zuvor auf einen Dienst authentifiziert von NTLM verwendet, wird nun die Authentifizierung fehl, mit dem folgenden Fehler: "System.ComponentModel.Win32Exception:.. Security Support Provider Interface (SSPI) Authentifizierung fehlgeschlagen der Server ist nicht mit Identität" Host / <Hostname> 'Wenn der Server in einem Dienstkonto ausgeführt wird (Netzdienst auf einem Konto ausgeführt werden kann zum Beispiel), geben Sie die serviceKonto als Identität in der EndpointAddress für den Server. Wenn der Server in einem Benutzerkonto ausgeführt wird, das Konto des Userprincipalname als die Identität im EndpointAddress für den Server angeben. " Der Fehler tritt auf, wenn der Dienst auf einem Konto ausgeführt wird, die eine andere Identität als "bietet die Host / <Hostname> '. Dieses Problem gilt auch fürCustom, die den SspiNegotiatedOverTransport Authentifizierungsmodus angeben. Um dieses Problem zu beheben: Wenn möglich, sollten Kunden durch die Verwendung eines UPN oder SPN Endpunkt Identität aktualisiert werden, die die Identität des Dienstes gibt, so dass die Kerberos-Authentifizierung auftritt. Die folgende Konfiguration Schnipsel zeigt, wie dies in der UPN-Fall zu tun; der SPN Fall ist ähnlich, aber das <service> Element verwendet wird, statt. <System.serviceModel> <client> <Endpunkt> <Identität> <userprincipal value = "user @ domain" /> </ identity> </ Endpunkt> </ client> </system.serviceModel> Zusätzlich Clients, die NetTcpBinding verwenden oder Custom, mit SspiNegotiatedOverTransport im Stapel über SslStreamSecurityBindingElement angegeben, muss eine benutzerdefinierte IdentityVerifier im Code geben Sie den CN Prüfung des Zertifikats des Service auszuführen. Der folgende Codeausschnitt zeigt, wie dies zu tun und stellt einen Ausgangspunkt fürIdentityVerifier-Implementierungen.