Insanity 10 Geschrieben 9. Juni 2010 Melden Teilen Geschrieben 9. Juni 2010 Hallöchen zusammen, ich bin mit folgendem Problem konfrontiert und habe einfach keine Lösung dazu gefunden... Es existieren mehrere Subdomains. In zwei von denen existieren Computerkonten für Server, welche den gleichen Namen haben. Beispiel: Server1.sub1.domain.local Server1.sub2.domain.local Nun meldet mir mein DC im Eventlog doppelte SPNs (ist ja auch klar) bezüglich "cifs/Server1". Wenn ich mir per adsiedit die entsprechenden Konten anschaue finde ich unter anderem jeweils zwei Einträge: HOST/Server1 HOST/Server1.sub1/2.domain.local Würde ich nun den Eintrag Host/Server1 löschen, hätte ich vermutlich keine KDC 11 Einträge mehr im Eventlog des DCs. Ich vermute nur, dass ein Löschen des Eintrages negative Folgen für die Erreichbarkeit des Servers hat. Es besteht leider nicht die Möglichkeit, einen der beiden Server umzubenennen. Hoffentlich hat hier jemand einen Lösungsvorschlag, ich sehe mich da in einer Zwickmühle. Grüße, Insanity Zitieren Link zu diesem Kommentar
amichel 10 Geschrieben 13. Juni 2010 Melden Teilen Geschrieben 13. Juni 2010 Hallo, Wenn Du die SPN's entfernst, dann kannst Du gegen den Server ohne SPN nicht mehr mit Kerberos authentifizieren und verwendest NTLM. Wenn Du alles so läßt wie es ist, dann ist es eine 50/50 Chance, daß bei Authentifizierungen Kerberos verwendet wird, da der DC bei Anforderung eines Tickets ein String Parsing nach dem SPN macht. Ist der zuerst gefundene SPN passend zu dem Server dann gibt es ein passendes Ticket, wenn nicht dann gibt der DC dem User ein Ticket für den falschen Server. Dieses kann dann nicht vom "richtigen" Server entschlüsselt werden und es gibt ein Failback auf NTLM. Ich würde einen der Server umbenennen. Eventuell wäre es auch eine gute Idee hier über Namenskonventionen nachzudenken um solche Probleme in der Zukunft zu vermeiden Amichel Zitieren Link zu diesem Kommentar
Insanity 10 Geschrieben 16. Juni 2010 Autor Melden Teilen Geschrieben 16. Juni 2010 Hallo und entschuldige die späte Antwort. Es wurde zwischenzeitlich schon entschieden, dass einer der beiden betroffenen Server, sobald die Möglichkeit besteht, unter neuem Namen installiert wird. Ist meiner Meinung nach auch die einzige _sinnvolle_ Lösung. Danke dir. Gruß, Insanity Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.