那些遇到过的问题

为什么不同主机上的 SPN 会导致服务器失去信任?我该如何解决?

Chr*_*ski 5 active-directory kerberos spn

我有一个全新的服务器映像,一旦加入域,它就会失去信任。我怀疑这是因为我使用此 Powershell 脚本的 LDAP 版本发现了重复的 SPN

Powershell 脚本

#Set Search
cls
$search = New-Object DirectoryServices.DirectorySearcher([ADSI]“”)
$search.filter = “(servicePrincipalName=*)”
$results = $search.Findall()



#list results
foreach($result in $results)
{
       $userEntry = $result.GetDirectoryEntry()
       Write-host "Object Name = " $userEntry.name -backgroundcolor "yellow" -foregroundcolor "black"
       Write-host "DN      =      "  $userEntry.distinguishedName
       Write-host "Object Cat. = "  $userEntry.objectCategory
       Write-host "servicePrincipalNames"
       $i=1
       foreach($SPN in $userEntry.servicePrincipalName)
       {
           Write-host "SPN(" $i ")   =      " $SPN       $i+=1
       }
       Write-host ""

}
Run Code Online (Sandbox Code Playgroud)

具有重复 SPN 的主机

dn: CN=NYC01IMFE02,CN=Computers,DC=hp,DC=com
changetype: add
servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:52407
servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:LYNCLOCAL
servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:59066
servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:RTCLOCAL
servicePrincipalName: http/nyc01imfe02.hp.com
servicePrincipalName: sip/nyc01imfe02.hp.com
servicePrincipalName: TERMSRV/NYC01IMFE02.hp.com
servicePrincipalName: TERMSRV/NYC01IMFE02
servicePrincipalName: WSMAN/NYC01IMFE02
servicePrincipalName: WSMAN/NYC01IMFE02.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01IMFE02
servicePrincipalName: HOST/NYC01IMFE02
servicePrincipalName: RestrictedKrbHost/NYC01IMFE02.hp.com
servicePrincipalName: HOST/NYC01IMFE02.hp.com
servicePrincipalName: TERMSRV/NYC01EXCAS04
servicePrincipalName: TERMSRV/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04.hp.com
servicePrincipalName: HOST/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04
servicePrincipalName: HOST/NYC01EXCAS04
Run Code Online (Sandbox Code Playgroud)

我刚刚创建的主机

dn: CN=nyc01excas04,CN=Computers,DC=hp,DC=com
changetype: add
servicePrincipalName: WSMAN/NYC01EXCAS04
servicePrincipalName: WSMAN/NYC01EXCAS04.hp.com
servicePrincipalName: TERMSRV/NYC01EXCAS04
servicePrincipalName: TERMSRV/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04
servicePrincipalName: HOST/NYC01EXCAS04
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04.hp.com
servicePrincipalName: HOST/NYC01EXCAS04.hp.com
Run Code Online (Sandbox Code Playgroud)

  1. 什么会导致这些条目位于错误的主机上?

.

servicePrincipalName: TERMSRV/NYC01EXCAS04
servicePrincipalName: TERMSRV/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04.hp.com
servicePrincipalName: HOST/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04
servicePrincipalName: HOST/NYC01EXCAS04
Run Code Online (Sandbox Code Playgroud)

  1. 这些条目的含义是什么?它们是做什么用的

  2. 他们会不会在新机器中造成信任失败?为什么只有一台机器有问题,而另一台机器没有问题

  3. 如何更正问题?

dro*_*kie 1

基本上,setspn在正常运行的 AD 中不会显示重复项。我认为至少对于有问题的机器你应该删除它们。从有问题的机器 SPN 开始,它错过了领域部分。

归档时间:

查看次数:

7204 次

最近记录:

8 年,4 月 前
相关归档
如何在不登录DC的情况下查看AD中的所有用户和组? 12
针对 samba 4 DC 的密钥表身份验证:获取初始凭据时在 Kerberos 数据库中找不到客户端 8
使用 AD 作为通用目录 6
从目录服务还原模式中降级 2003 DC 5
什么时候需要新的 AD 森林,什么时候需要新的树? 5
在 Active Directory 中更改用户登录名时需要注意什么? 4
sAMAccountName 用于登录用户 4
Active Directory - 同名林之间的林信任? 3
如何通过扫描一堆IP地址来识别域控制器? 2
有人可以解释服务器的 FQDN 和 Active Directory 域之间的关系吗 1
难疑归档
我在 DDoS 下。我能做什么? 183
系统管理员备忘单? 131
ssh-keygen 不创建 RSA 私钥 128
如何在不重新启动屏幕的情况下重新加载 screenrc? 100
如何按进程开始时间对 ps 输出进​​行排序? 82
为什么 Ubuntu Docker 容器中没有 ifconfig? 73
循环 DNS 是否“足够好”用于负载平衡静态内容? 67
如何在 Win7 中删除网络位置的登录凭据? 66
我可以在 OS X 上的 /etc/hosts 的条目中指定端口吗? 65
提取tar.gz的最快方法 53