AD - Verwaiste SPNs auf Computerkonten

[s1lversurv 10]

Hallo Comunity,

 

Situation:

---------

Wir haben die Domänencontroller ausgetauscht und AD soweit gezügelt.

Im EventLog der neuen Domänencontroller haben wir immer wieder den

"KERBEROS ID 11: Doubled SPN for ...".

Den doppelten SPN hab ich inzwischen gelöscht (exitierte auf einem

Computer- und einem Benutzerkonto?! - however ...). Nun ist mir aber

aufgefallen, dass die alten Domänencontroller noch DNS-, NtFrs- und

Domaincontroller-SPNs registriert haben.

 

Frage:

------

Bringt es irgendetwas, verwaiste SPNs zu löschen oder kann man diese als

"Unique-Carbage" im Netz stehen lassen ohne Performanceverluste einzugehen?

 

Mit Gruss,

s1lversurv

[olc 18]

Hi,

 

grundsätzlich kannst du die alten Einträge auf den (nun) Memberservern löschen, solange Du nur die "richtigen" anfaßt. Die Frage ist, warum Du das tun solltest - es bringt Dir keine "Performance-Nachteile", wenn die Einträge bestehen bleiben.

 

Oder wohin führt Dein Gedanke - ich kann das nicht zu 100% nachvollziehen? :)

 

Viele Grüße

olc

[s1lversurv 10]

Wir haben komische Kerberosmeldungen, die Authentifizierungsfehler melden zwischen einzelnen Servern. Typischerweise müssen sich Benutzer des VPNs immer zweimal authentifizieren, einmal bei Windows und einmal beim Exchange-Server, wenn Outlook gestartet wird.

[olc 18]

Hi,

 

hast Du einen konkreten Anhaltspunkt, daß die Fehler an den SPNs liegen? Falls nicht, mußt Du sie auch erst einmal nicht löschen. ;)

Vielleicht kannst Du ja vor dem Löschen der SPNs noch einmal prüfen, inwiefern vielleicht anderen Ursachen für die Probleme existieren, ohne "wild" Einträge zu entfernen. ;)

 

Viele Grüße

olc