別のホストのSPNがサーバーの信頼を失うのはなぜですか?どうすれば修正できますか?
ドメインに参加するとすぐに信頼が失われる新しいサーバーイメージがあります。このPowershellスクリプトのLDAPバージョンを使用して発見した重複したSPNが原因であると思います
Powershellスクリプト
#Set Search
cls
$search = New-Object DirectoryServices.DirectorySearcher([ADSI]“”)
$search.filter = “(servicePrincipalName=*)”
$results = $search.Findall()
#list results
foreach($result in $results)
{
$userEntry = $result.GetDirectoryEntry()
Write-Host "Object Name = " $userEntry.name -backgroundcolor "yellow" -foregroundcolor "black"
Write-Host "DN = " $userEntry.distinguishedName
Write-Host "Object Cat. = " $userEntry.objectCategory
Write-Host "servicePrincipalNames"
$i=1
foreach($SPN in $userEntry.servicePrincipalName)
{
Write-Host "SPN(" $i ") = " $SPN $i+=1
}
Write-Host ""
}
SPNが重複しているホスト
dn: CN=NYC01IMFE02,CN=Computers,DC=hp,DC=com
changetype: add
servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:52407
servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:LYNCLOCAL
servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:59066
servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:RTCLOCAL
servicePrincipalName: http/nyc01imfe02.hp.com
servicePrincipalName: sip/nyc01imfe02.hp.com
servicePrincipalName: TERMSRV/NYC01IMFE02.hp.com
servicePrincipalName: TERMSRV/NYC01IMFE02
servicePrincipalName: WSMAN/NYC01IMFE02
servicePrincipalName: WSMAN/NYC01IMFE02.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01IMFE02
servicePrincipalName: Host/NYC01IMFE02
servicePrincipalName: RestrictedKrbHost/NYC01IMFE02.hp.com
servicePrincipalName: Host/NYC01IMFE02.hp.com
servicePrincipalName: TERMSRV/NYC01EXCAS04
servicePrincipalName: TERMSRV/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04.hp.com
servicePrincipalName: Host/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04
servicePrincipalName: Host/NYC01EXCAS04
作成したばかりのホスト
dn: CN=nyc01excas04,CN=Computers,DC=hp,DC=com
changetype: add
servicePrincipalName: WSMAN/NYC01EXCAS04
servicePrincipalName: WSMAN/NYC01EXCAS04.hp.com
servicePrincipalName: TERMSRV/NYC01EXCAS04
servicePrincipalName: TERMSRV/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04
servicePrincipalName: Host/NYC01EXCAS04
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04.hp.com
servicePrincipalName: Host/NYC01EXCAS04.hp.com
質問
- これらのエントリが間違ったホストに配置される原因は何ですか?
。
servicePrincipalName: TERMSRV/NYC01EXCAS04
servicePrincipalName: TERMSRV/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04.hp.com
servicePrincipalName: Host/NYC01EXCAS04.hp.com
servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04
servicePrincipalName: Host/NYC01EXCAS04
これらのエントリの意味は何ですか?彼らは何のために使われますか
新しいマシンで信頼の障害を引き起こしたのでしょうか?なぜ1つのマシンだけに問題があり、他のマシンには問題がないのですか?
どうすれば問題を修正できますか?
基本的に、適切に機能するADのsetspnは重複を示しません。少なくとも問題のあるマシンでは、それらを削除する必要があると思います。レルム部分を逃した問題のあるマシンSPNから始めます。
dhcpは、すでにDNSに登録されているIPアドレスを別のマシンに提供しています。マシンがActiveDirectoryに再参加するとき、ホスト名は1つの値ですが、DNSサーバーは別の値を持っています。
servicePrincipalName(s)は、Kerberos認証に使用されます。 ActiveDirectory統合アプリケーションがMSSQLサーバーに接続している場合、少なくともKerberos認証を使用しているMSSQLSvcタグがないと、アプリはおそらく正しく機能しません。