（已编辑）您可以检查这是否与该SAP数据库有关

多林配置的最佳做法：

1323391 -在多个AD中执行kerberos SSO的Microsoft要求是什么？ BI和

的森林环境

1886178-BI 4.x中远程林中的AD组间歇性故障

在组映射的方向上，BI使用Microsoft API，这些API使用LDAP查询和DNS来发现域。 没有信任，这些API将会失败（如您所见），但是您可以通过手动添加DNS信息（可能是主机文件等）来规避这一问题。问题是，您正在为自己设置未经测试的配置，并且您会自行选择 可能会遇到无论您尝试添加什么DNS信息都将无法进行某些通信的问题……因此，使用林信任更安全得多。

现在，在客户端方向上，用户将通过必须具有林信任关系的kerberos进行协商，以便在另一个林中找到SPN请求。 由于您确实对此有信任，所以SSO可以工作。 除了第一个信任关系外，还有更多的规则1首先让SSO在本地林中运行，然后验证远程林中的客户端是否遵循 https://apps.support.sap.com/sap/support/knowledge/preview/zh/1323391 ，例如使用FQDN并验证BI 域（http：//* bidomain）在浏览器本地Intranet中。

其他需要注意的问题是浏览器（例如，Win 10上的IE 11只能通过受约束的委派执行SSO）我们不知道此配置是否可以在具有2种方式的林信任的多林中工作。 IE 11凭证守卫将需要删除，但是此问题也会在本地林中发生

Chrome具有相同的问题，但是可以通过在注册表中添加URL来绕过。 在多林KBA中全部提到了

-Tim

嗨湿婆，

我已经阅读了KBA； 但是，我的问题是BO服务器和用户/组位于不同的域中。 如果该组在父域中，则它起作用； 但是，尽管父级和子级具有传递信任，但尝试从子级域映射组时却出现错误。

此致

Kunal

如果您尝试将BI与多个AD林配合使用，则必须使用2种方式的信任

https://apps.support.sap.com/ sap/support/knowledge/preview/zh/1323391 （由Shiva引用）

在某些情况下，如果您仅具有父级目录林，则可以绕过某些任务（例如组映射）的此要求，但是您会发现在没有目录林信任的情况下，其他任务（如SSO）在所有情况下都会失败。/p>

间歇故障KBA 1886178不适用于此处，因为即使由于DNS问题而存在双向信任，也会发生该问题。 如果不存在两种方式的林信任，那么我们将期望子域发现失败。

BI产品可以安装在Microsoft环境中，但是必须设置该环境才能正确通信，否则BI调用的Microsoft API将会失败。 如果您想规避Microsoft的安全性，那么最好的选择是向Microsoft咨询，因为SAP无法做到这一点。

-蒂姆