服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 为什么不同主机上的SPN会导致服务器失去信任? 我应该如何解决它?
Intereting Posts
在带有服务器名称指示的反向代理后面的虚拟机上使用letsencrypt build立虚拟服务器作为生产网站应用程序的最快方法是什么? 猫5和6配线架之间的区别? NAS存储 – >什么是理想的 在Linux VPS上设置Samba共享 IIS 7返回304而不是200 如何通过腻子将交换机和路由器连接到笔记本电脑 SATA II上的软件RAID? 服务apache2重新启动和/etc/init.d/apache2重新启动做同样的事情? Mac电脑不通过Windows 2008 R2打印服务器打印到新打印机 csvde根据SamAccountNamefind1个用户 使用Route 53pipe理专用VPC IP地址 使用Windowsdynamic磁盘扩展16 TB卷 redirect页面并添加.html扩展名 如何在Windows XP客户机上完全删除驱动程序?

为什么不同主机上的SPN会导致服务器失去信任? 我应该如何解决它?

我有一个全新的服务器映像,只要它join域,就会失去它的信任。 我怀疑这是因为使用此Powershell脚本的LDAP版本发现的重复的SPN

Powershell脚本 

#Set Search cls $search = New-Object DirectoryServices.DirectorySearcher([ADSI]“”) $search.filter = “(servicePrincipalName=*)” $results = $search.Findall() #list results foreach($result in $results) { $userEntry = $result.GetDirectoryEntry() Write-host "Object Name = " $userEntry.name -backgroundcolor "yellow" -foregroundcolor "black" Write-host "DN = " $userEntry.distinguishedName Write-host "Object Cat. = " $userEntry.objectCategory Write-host "servicePrincipalNames" $i=1 foreach($SPN in $userEntry.servicePrincipalName) { Write-host "SPN(" $i ") = " $SPN $i+=1 } Write-host "" }

主机与重复的SPN 

 dn: CN=NYC01IMFE02,CN=Computers,DC=hp,DC=com changetype: add servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:52407 servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:LYNCLOCAL servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:59066 servicePrincipalName: MSSQLSvc/NYC01IMFE02.hp.com:RTCLOCAL servicePrincipalName: http/nyc01imfe02.hp.com servicePrincipalName: sip/nyc01imfe02.hp.com servicePrincipalName: TERMSRV/NYC01IMFE02.hp.com servicePrincipalName: TERMSRV/NYC01IMFE02 servicePrincipalName: WSMAN/NYC01IMFE02 servicePrincipalName: WSMAN/NYC01IMFE02.hp.com servicePrincipalName: RestrictedKrbHost/NYC01IMFE02 servicePrincipalName: HOST/NYC01IMFE02 servicePrincipalName: RestrictedKrbHost/NYC01IMFE02.hp.com servicePrincipalName: HOST/NYC01IMFE02.hp.com servicePrincipalName: TERMSRV/NYC01EXCAS04 servicePrincipalName: TERMSRV/NYC01EXCAS04.hp.com servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04.hp.com servicePrincipalName: HOST/NYC01EXCAS04.hp.com servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04 servicePrincipalName: HOST/NYC01EXCAS04

我刚刚创build的主机 

 dn: CN=nyc01excas04,CN=Computers,DC=hp,DC=com changetype: add servicePrincipalName: WSMAN/NYC01EXCAS04 servicePrincipalName: WSMAN/NYC01EXCAS04.hp.com servicePrincipalName: TERMSRV/NYC01EXCAS04 servicePrincipalName: TERMSRV/NYC01EXCAS04.hp.com servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04 servicePrincipalName: HOST/NYC01EXCAS04 servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04.hp.com servicePrincipalName: HOST/NYC01EXCAS04.hp.com

  1. 什么会导致这些条目位于错误的主机上? 

 servicePrincipalName: TERMSRV/NYC01EXCAS04 servicePrincipalName: TERMSRV/NYC01EXCAS04.hp.com servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04.hp.com servicePrincipalName: HOST/NYC01EXCAS04.hp.com servicePrincipalName: RestrictedKrbHost/NYC01EXCAS04 servicePrincipalName: HOST/NYC01EXCAS04

  1. 这些条目是什么意思? 他们用了什么

  2. 他们会在新机器上造成信任失败吗? 为什么只有一台机器有问题,而不是另一台

  3. 我如何纠正这个问题?

基本上, setspn在一个正常运作的AD显示没有重复。 我想你应该删除他们,至less对于那些陷入困境的机器来说。 从错过机器部分的故障机器SPN开始。

dhcp提供已经在DNS注册到另一台机器的IP地址。 当机器重新连接到ActiveDirectory时,主机名是一个值,但DNS服务器有另一个值。

servicePrincipalName(s)用于Kerberos身份validation。 当ActiveDirectory集成应用程序正在联系MSSQL服务器时,如果没有这些MSSQLSvc标签,应用程序可能无法正常工作,至less使用Kerberos身份validation。