Здравствуйте!
Внедрил на свою голову SSO (библиотеки взял из ноты 352295). У 95% пользователей все хорошо, радуются. У нескольких человек неожиданно стали блокироваться учетные записи.
В логах windows security на контролере домена каждый раз при открытии кем-нибудь GUI:

A Kerberos service ticket was requested.

Account Information:
Account Name: basis@DOMAIN.LOCAL
Account Domain: DOMAIN.LOCAL
Logon GUID: {00000000-0000-0000-0000-000000000000}

Service Information:
Service Name: basis
Service ID: NULL SID

Network Information:
Client Address: ::ffff:192.0.0.22
Client Port: 58837

Additional Information:
Ticket Options: 0x40810000
Ticket Encryption Type: 0xffffffff
Failure Code: 0x1b
Transited Services: -

This event is generated every time access is requested to a resource such as a computer or a Windows service. The service name indicates the resource to which access was requested.

This event can be correlated with Windows logon events by comparing the Logon GUID fields in each event. The logon event occurs on the machine that was accessed, which is often a different machine than the domain controller which issued the service ticket.

Ticket options, encryption types, and failure codes are defined in RFC 4120.

Видимо это как-то связано с SPN...

И такие сообщения переодически:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:
Source Workstation:
Error Code: 0xc0000064

Для сервиса объявлял: setspn -s SAPServiceER2/hostname.domain.local DOMAIN\SAPServiceER2
В GUI в SCN объявил: p:SAPServiceER2@DOMAIN.LOCAL command.

Список SPN для SAPServiceER2:

setspn -L SAPServiceER2
Registered ServicePrincipalNames for CN=SAPServiceER2,CN=Users,DC=domain,DC=local: SAPServiceER2/hostname.domain.local

И отказаться от SSO уже не могу - людям стало жить легче, но и делать что-то с блокирующимися аккаунтами надо. Помогите, пожалуйста

Я надеюсь вы setspn на контроллере домена запускали?
По ошибке нашел, C0000064 user name does not exist.

Да, SETSPN на контроллере домена запускал, проверял, что SPN не задвоился (были тестовые SPN, удялил, оставил только рабочую SAPServiceER3 (продуктив))

Я видимо не то сообщение скопировал, код ошибки C000006a - вход с ошибками или не верный пароль

Проблема была не в SSO, а в произвольной блокировке учеток, не связанной с SSO.

Здравствуйте, я бы тоже хотел на свою голову внедрить SSO =)

Наверно флуд,но в двух словах можно про SSO, с чего начать то?

Добрый день! Ну вот как-то так:
http://rikonw.ru/2014/02/06/nastroyka-s ... ros-v-sap/
Через неделю всплыли все проблемы в домене (не связанные с SAP) - блокировки пользователей AD и тп. Поэтому, сначала убедитесь что с этим все в порядке. А то на меня долго грешили, пока не разобрались.

Уже 3 месяца работает без проблем. Windows и на сервере и на клиенте.

Спасибо за пищу для размышлений, после апдэйта систем приступлю к SSO ...