Hallo zusammen, ich habe folgends Problem bzw. verstehe das Verhalten nicht so ganz. Wir haben bei einigen Windows Server 2019 Servern den SPN über den Netdom Befehl eingetragen. Das Auslesen des SPN über "netdom computername <server name> /enum" funktioniert dann manchmal mit dem Domänen Administrator und manchmal mit unseren "Server Admins". Die Fehlermeldung lautet dann einfach nur "Zugriff verweigert". Ein wirkliches Muster habe ich noch nicht rausgefunden. Beide User haben auf das Attribut "msDS-AdditionalDnsHostName" Leserechte. Soweit ich das verstehe, sollte das doch ausreichen um mit dem oben genannten Befehl den SPN auszulesen. Schreibrechte auf das Attribut brauche ich ja nur, wenn ich den SPN mit dem User setzen will. Aber auch das Rechte hätte der User. Oder was für Voraussetzungen müssen noch gegeben sein, damit man den SPN auslesen kann? Vielen Dank Grüße

Das richtige Tool nutzen Probiere es mal mit dem Tool für SPN -> setspn.exe setspn.exe -L home-srvmgmt01

Frage zum SPN / Netdom Befehl

Von phatair
13. November in Active Directory Forum

Abonnenten 4

Direkt zur Lösung Gelöst von MurdocX, 13. November

Empfohlene Beiträge

daabm 1.354

Geschrieben vor 11 Stunden

- Melden
- Teilen

Geschrieben vor 11 Stunden

Am 22.11.2024 um 08:56 schrieb phatair:

Aktuell fällt es auf NTLM zurück, wenn wir über einen DNS Alias zugreifen und kein SPN gepflegt ist.

Ja, was soll es auch sonst machen? Kein SPN -> kein Kerberos-Ticket :-) Wir haben da übrigens ziemlich raffinierte Konstrukte, um recht dynamisch Domain Realms zu konfigurieren. Wenn Disjoint Namespaces bei Euch ein Thema sind (DNS-Zone != AD-FQDN), kannst gern auf mich zukommen. Natürlich auch ebenso gerne hier im Forum, dann haben alle was davon.