DAUjones 10 Geschrieben 19. Februar 2009 Melden Teilen Geschrieben 19. Februar 2009 Wie im Titel schon erwähnt habe ich hier einen Error-Event 11 des KDC. Ein ServicePrincipalName ist angeblich doppelt, aber ein Export aller SPNs per LDFIDE und Suche haben nicht einen gefunden. Die gleiche Prozedur wurde kurz zuvor mit einem anderen SPN erfolgreich durchgeführt, also Suche und anschließendes entfernen des doppelten SPN mit setspn. Der Fehler liegt also nicht an der Durchführung. Ich versuche jetzt zu verstehen wie dieser Fehler zustande kommt und wie dringend er beseitigt werden muss. Wir reden hier von einer weltweiten AD-Struktur, nach dem Schema Mutterkonzern -> Töchter. Wir sind eine der Töchter. Beim SPN handelt es sich um HTTP/host.subdomäne.domäne. Der entsprechende Host host.subdomäne.domäne ist ein (mir ansonsten) unbekannter Rechner, der sich wohl hier am Standort befindet und sich auch anpingen lässt. Ein SPN als HOST/ ist vorhanden. Thanks in advance. – Update: Hab mal nach HOST/ anstatt nach HTTP/ gesucht und 3 Server gefunden. Alle 3 sind SCCM-Server. SCCM wird hier gerade neu implementiert. Update 2: Für die 3 SCCM-Server gibts wohl einen Load Balancer (NLB). Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 19. Februar 2009 Melden Teilen Geschrieben 19. Februar 2009 Hi, welche Domäne hast Du mittels LDIFDE exportiert? Wahrscheinlich nur die eigene oder? Schau einmal in der gesamten Struktur, ob da ein "Scherzbold" ggf. in seiner Domäne den SPN falsch registriert hat. Viele Grüße olc Zitieren Link zu diesem Kommentar
DAUjones 10 Geschrieben 20. Februar 2009 Autor Melden Teilen Geschrieben 20. Februar 2009 Das war der Befehl, der die 3 Ergebnisse erzeugt hat. ldifde -f check_SPN.txt -t 3268 -d "" -l servicePrincipalName -r "(servicePrincipalName=HOST/host.domain.tld*)" -p subtree Wie gesagt, es handelt sich um 3 System Center Server, die quasi "gewachsen" sind. (1. installiert, hat von der Kapazität nicht gereicht, 2 weitere + Load Balancer installiert). Kompetenzlevel der Ausführenden ist unklar und die sind im Moment auch nicht erreichbar. Jetzt ist halt die Frage wie schlimm oder nicht dieser Fehler ist? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. Februar 2009 Melden Teilen Geschrieben 20. Februar 2009 Hi, dann versuch einmal nicht den Global Catalog zu befragen, sondern die NCs komplett: ldifde -s [b][color="Red"]DC_DER_JEWEILIGEN_DOMÄNE_ALS_FQDN[/color][/b] -f check_SPN.txt -t [b][color="Red"]389[/color][/b] -d "" -l servicePrincipalName -r "(servicePrincipalName=HOST/mycomputer*)" -p subtree Als DC trägst Du zuerst einen DC ein, auf dem das Event geloggt wird. Wirst Du da nicht fündig (was ich nicht glaube), dann versuche es schrittweise mit jeweils einem DC einer anderen Domäne. AD-Replikation läuft korrekt in der Umgebung (verifiziert)? Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.