Por que um SPN em um host diferente faz com que um servidor perca sua confiança? Como devo corrigir isso?

5

Eu tenho uma nova imagem de servidor que perde sua confiança assim que se associa ao domínio. Eu suspeito que é por causa do SPN duplicado que eu descobri usando a versão LDAP deste script Powershell

Roteiro Powershell

#Set Search
cls
$search = New-Object DirectoryServices.DirectorySearcher([ADSI]“”)
$search.filter = “(servicePrincipalName=*)”
$results = $search.Findall()



#list results
foreach($result in $results)
{
       $userEntry = $result.GetDirectoryEntry()
       Write-host "Object Name = " $userEntry.name -backgroundcolor "yellow" -foregroundcolor "black"
       Write-host "DN      =      "  $userEntry.distinguishedName
       Write-host "Object Cat. = "  $userEntry.objectCategory
       Write-host "servicePrincipalNames"
       $i=1
       foreach($SPN in $userEntry.servicePrincipalName)
       {
           Write-host "SPN(" $i ")   =      " $SPN       $i+=1
       }
       Write-host ""

} 

Host com SPN duplicado

dn: CN=NYC01IMFE02,CN=Computers,DC=hp,DC=com
changetype: add
servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:52407
servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:LYNCLOCAL
servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:59066
servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:RTCLOCAL
servicePrincipalName: http/nyc01imfe02.hp.com
servicePrincipalName: sip/nyc01imfe02.hp.com
servicePrincipalName: TERMSRV/NYC01IMFE02.hp.com
servicePrincipalName: TERMSRV/NYC01IMFE02
servicePrincipalName: WSMAN/NYC01IMFE02
servicePrincipalName: WSMAN/NYC01IMFE02.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01IMFE02
servicePrincipalName: HOST/NYC01IMFE02
servicePrincipalName: RestrictedKrbHost/NYC01IMFE02.hp.com
servicePrincipalName: HOST/NYC01IMFE02.hp.com
servicePrincipalName: TERMSRV/NYC01EXCAS04
servicePrincipalName: TERMSRV/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04.hp.com
servicePrincipalName: HOST/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04
servicePrincipalName: HOST/NYC01EXCAS04

Host que acabei de criar

dn: CN=nyc01excas04,CN=Computers,DC=hp,DC=com
changetype: add
servicePrincipalName: WSMAN/NYC01EXCAS04
servicePrincipalName: WSMAN/NYC01EXCAS04.hp.com
servicePrincipalName: TERMSRV/NYC01EXCAS04
servicePrincipalName: TERMSRV/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04
servicePrincipalName: HOST/NYC01EXCAS04
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04.hp.com
servicePrincipalName: HOST/NYC01EXCAS04.hp.com

Pergunta

  1. O que faria com que essas entradas estivessem localizadas no host errado?

.

servicePrincipalName: TERMSRV/NYC01EXCAS04
servicePrincipalName: TERMSRV/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04.hp.com
servicePrincipalName: HOST/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04
servicePrincipalName: HOST/NYC01EXCAS04
  1. Qual é o significado dessas entradas? O que eles são usados para

  2. Eles causaram uma falha de confiança na nova máquina? Por que é que apenas uma máquina tem problemas e não a outra

  3. Como corrijo o problema?

por random65537 12.12.2014 / 05:23

2 respostas

1

Basicamente, setspn em um bom funcionamento AD não mostra duplicatas. Eu acho que você deve removê-los pelo menos para a máquina problemática. Comece com a máquina problemática do SPN que perdeu a parte do reino.

    
por 12.12.2014 / 05:34
0

O dhcp está oferecendo um endereço IP já registrado no DNS para outra máquina. Quando a máquina é reinserida ao ActiveDirectory, o nome do host é um valor, mas o servidor DNS tem outro.

servicePrincipalName (s) são usados para autenticação do Kerberos. Quando um aplicativo integrado do ActiveDirectory está contatando servidores MSSQL, o aplicativo provavelmente não funcionará corretamente sem essas marcas MSSQLSvc, pelo menos, usando a autenticação Kerberos.

    
por 05.10.2017 / 20:37