Falsche servicePrincipalNames (SPN) im Exchange Server AD Konto?

Exchange Server 2016

Last Post by spacerunner 3 years ago

1 Posts

1 Users

0 Reactions

2,415 Views

RSS

spacerunner

(@spacerunner)

Eminent Member

Joined: 5 years ago

Posts: 16

Topic starter 28. July 2021 11:35

Moin Moin,

Nach dem Aufsetzen eines zusätzlichen (zweiten) Domain Controllers laut Frankys Anleitung mag dieser nicht so recht funktionieren. Die Fehlersuche gestaltet sich kompliziert. Unter anderem gibt es folgenden Hinweis: Duplicate SPNs, dadurch unter anderem Kerberos Probleme.

Laut Analyse sind auf dem AD Konto des Exchange Servers (EX01) auch SPNs des Active Directory Controllers (ADDC01) registriert. Leider finde ich keine Quellen, welche SPNs im Exchange Server Maschinen Konto tatsächlich benötigt werden. Woher diese anderen Einträge kommen, ist mir schleierhaft.

Nomenklatur:

EX01 Exchange Server (2016)
ADDC01 Domaincontroller
solaris.example.com Domain

Doppelte Einträge suchen:

C:\>setspn -X
Die Domäne "DC=solaris,DC=example,DC=com" wird überprüft.
Eintrag 0 wird verarbeitet.
HOST/ADDC01/SOLARIS wird auf diesen Konten registriert:
        CN=EX01,CN=Computers,DC=solaris,DC=example,DC=com
        CN=ADDC01,OU=Domain Controllers,DC=solaris,DC=example,DC=com

HOST/ADDC01 wird auf diesen Konten registriert:
        CN=EX01,CN=Computers,DC=solaris,DC=example,DC=com
        CN=ADDC01,OU=Domain Controllers,DC=solaris,DC=example,DC=com

exchangeAB/ADDC01 wird auf diesen Konten registriert:
        CN=EX01,CN=Computers,DC=solaris,DC=example,DC=com
        CN=ADDC01,OU=Domain Controllers,DC=solaris,DC=example,DC=com

WSMAN/ADDC01 wird auf diesen Konten registriert:
        CN=EX01,CN=Computers,DC=solaris,DC=example,DC=com
        CN=ADDC01,OU=Domain Controllers,DC=solaris,DC=example,DC=com

RestrictedKrbHost/ADDC01 wird auf diesen Konten registriert:
        CN=EX01,CN=Computers,DC=solaris,DC=example,DC=com
        CN=ADDC01,OU=Domain Controllers,DC=solaris,DC=example,DC=com

5 Gruppen von doppelten SPNs gefunden.

alle Einträge des Exchange Servers EX01:

C:\>setspn -Q */*EX01* >> spn_records.txt

C:\>type spn_records.txt

Die Domäne "DC=solaris,DC=example,DC=com" wird überprüft.
CN=EX01,CN=Computers,DC=solaris,DC=example,DC=com
        IMAP/EX01
        IMAP/ex01.solaris.example.com
        IMAP4/EX01
        IMAP4/ex01.solaris.example.com
        POP/EX01
        POP/ex01.solaris.example.com
        POP3/EX01
        POP3/ex01.solaris.example.com
        exchangeRFR/EX01
        exchangeRFR/ex01.solaris.example.com
        exchangeMDB/EX01
        exchangeMDB/ex01.solaris.example.com
        SMTP/EX01
        SMTP/ex01.solaris.example.com
        SmtpSvc/EX01
        SmtpSvc/ex01.solaris.example.com
        WSMAN/ex01.solaris.example.com
        HOST/ex01.solaris.example.com/solaris.example.com
        exchangeAB/ex01.solaris.example.com
        HOST/ex01.solaris.example.com/SOLARIS
        DNS/ex01.solaris.example.com
        Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/ex01.solaris.example.com
        RestrictedKrbHost/ex01.solaris.example.com
        HOST/ex01.solaris.example.com
        WSMAN/ADDC01
        exchangeAB/ADDC01
        RestrictedKrbHost/ADDC01
        HOST/ADDC01
        HOST/EX01/solaris.example.com
        HOST/ADDC01/SOLARIS
        HOST/ADDC01/solaris.example.com
        RPC/5b342c13-b6bf-44d1-82fc-7ed6143e42fc._msdcs.solaris.example.com
        WSMAN/EX01
        exchangeAB/EX01
        HOST/EX01/SOLARIS
        RPC/787b4fc3-10a2-4682-8b77-f415534c4de2._msdcs.solaris.example.com
        RestrictedKrbHost/EX01
        HOST/EX01

Bestehender SPN wurde gefunden.

C:\>

Nun stellt sich die Frage:

Welche dieser Einträge müssen auf welchem Konto registriert sein - welche sollte man löschen?

Viele Grüße & herzlichen Dank,
Stefan

Quote

Topic Tags

Forum Icons: Forum contains no unread posts Forum contains unread posts

Topic Icons: Not Replied Replied Active Hot Sticky Unapproved Solved Private Closed