問題

在 Workspace ONE Access Connector 中安裝 Kerberos 驗證服務期間，如果您未選取您要以網域使用者帳戶的身分執行 Workspace ONE Access 服務嗎? 選項，或者您選取了選項但指定了在 Active Directory 中不具有「建立、刪除和管理使用者帳戶」權限的網域帳戶，便無法在安裝後初始化 Kerberos。在您嘗試設定 Kerberos 驗證配接器時，收到指出 Kerberos 初始化失敗的錯誤。

解決方案

使用具有較高權限的使用者帳戶來執行 setupkerberos.bat 指令碼。使用下列帳戶：

• 網域使用者
• 具有在 Active Directory 中「建立、刪除和管理使用者帳戶」的權限 (管理員使用者和帳戶操作員群組的成員具有這些權限)
• 在 Workspace ONE Access Connector 安裝所在的 Windows Server 上屬於管理員群組

具有較高權限的這個使用者帳戶僅需要用來暫時執行指令碼，不會儲存或再次用於連接器服務。在您執行指令碼之後，可以繼續使用原本使用的原始使用者帳戶來設定 Kerberos 驗證方法。

! ( & % @ / = ? * , . #

若要執行指令碼：

1. 登入連接器 Windows 機器，並導覽至 InstallDir\Workspace_ONE_Access\Support\scripts 目錄。
2. 在 setupkerberos.bat 上按一下滑鼠右鍵，然後選取以系統管理員身分執行。
3. 輸入具有較高權限的使用者帳戶，如上所述。

   成功執行指令碼之後，隨即顯示確認訊息。

4. 以您原本使用的原始使用者帳戶來登入 Workspace ONE Access 主控台，並設定 Kerberos 驗證方法。

關於 setupkerberos.bat 指令碼

在 Workspace ONE Access Connector 20.01 或更新版本上安裝 Kerberos 驗證時，setupkerberos.bat 指令碼會執行下列工作：

1. 建立與機器帳戶相同名稱 (不含 $) 的服務帳戶
2. 為帳戶設定隨機密碼
3. 為帳戶產生 keytab 檔案，依預設會將其儲存在 InstallDir\Workspace ONE Access\Kerberos Auth Service\conf 中。
4. 將機器的指定主體對應為帳戶內的 SPN