Em todos os casos, a configuração de delegação do Kerberos é uma operação confidencial e deve ser executada com cuidado, manualmente e por um administrador confiável. Como o SPN contém o nome do computador que oferece determinado serviço, não é possível especificar "todos os DCs" de uma só vez. Isso porque você não pode saber no futuro qual será o nome do seu próximo CD.
Portanto, sugiro que as etapas de configuração do SPN sejam adicionadas aos seus procedimentos de promoção de DCs.
Na verdade, a interface de usuário de delegação restrita de Kerberos preenche o atributo "msDS-AllowedToDelegateTo". Por isso, seria fácil automatizar a delegação com o PowerShell, por exemplo:
$userWithConstrainedDelegation = "put_username_here"
$domain = Get-ADDomain
$user = Get-ADUser $userWithConstrainedDelegation -Properties "msDS-AllowedToDelegateTo"
$spns = @()
$spnsToAdd = @()
#// Get all domain controllers in the current domain
Get-ADDomainController -Filter * | % {
#// Construct SPNs (an example for ldap SPN)
$spns += "ldap/{0}" -f $_.Name
$spns += "ldap/{0}" -f $_.HostName
$spns += "{0}/{1}" -f $s1,$domain.NetBIOSName
#// Check if SPN should be added
foreach($service in $spns){
if ($user.'msDS-AllowedToDelegateTo' -inotcontains $service){
"ADDING: {0}" -f $service
$spnsToAdd += $service
}
}
$spns = @()
}
#// Add missing SPNs
if ($spnsToAdd.Count -gt 0){
Set-ADObject $user -Add @{ "msDS-AllowedToDelegateTo" = $spnsToAdd }
}
NOTA: Este script é apenas para demonstração! É não testado e pode conter erros. Teste-o no LAB antes de usá-lo!
Mais uma vez, esta é uma operação delicada. Se escolher a automação, assine o script do PowerShell para evitar adulterações.