DAUjones 10 Geschrieben 19. Februar 2009 Melden Geschrieben 19. Februar 2009 Wie im Titel schon erwähnt habe ich hier einen Error-Event 11 des KDC. Ein ServicePrincipalName ist angeblich doppelt, aber ein Export aller SPNs per LDFIDE und Suche haben nicht einen gefunden. Die gleiche Prozedur wurde kurz zuvor mit einem anderen SPN erfolgreich durchgeführt, also Suche und anschließendes entfernen des doppelten SPN mit setspn. Der Fehler liegt also nicht an der Durchführung. Ich versuche jetzt zu verstehen wie dieser Fehler zustande kommt und wie dringend er beseitigt werden muss. Wir reden hier von einer weltweiten AD-Struktur, nach dem Schema Mutterkonzern -> Töchter. Wir sind eine der Töchter. Beim SPN handelt es sich um HTTP/host.subdomäne.domäne. Der entsprechende Host host.subdomäne.domäne ist ein (mir ansonsten) unbekannter Rechner, der sich wohl hier am Standort befindet und sich auch anpingen lässt. Ein SPN als HOST/ ist vorhanden. Thanks in advance. – Update: Hab mal nach HOST/ anstatt nach HTTP/ gesucht und 3 Server gefunden. Alle 3 sind SCCM-Server. SCCM wird hier gerade neu implementiert. Update 2: Für die 3 SCCM-Server gibts wohl einen Load Balancer (NLB).
olc 18 Geschrieben 19. Februar 2009 Melden Geschrieben 19. Februar 2009 Hi, welche Domäne hast Du mittels LDIFDE exportiert? Wahrscheinlich nur die eigene oder? Schau einmal in der gesamten Struktur, ob da ein "Scherzbold" ggf. in seiner Domäne den SPN falsch registriert hat. Viele Grüße olc
DAUjones 10 Geschrieben 20. Februar 2009 Autor Melden Geschrieben 20. Februar 2009 Das war der Befehl, der die 3 Ergebnisse erzeugt hat. ldifde -f check_SPN.txt -t 3268 -d "" -l servicePrincipalName -r "(servicePrincipalName=HOST/host.domain.tld*)" -p subtree Wie gesagt, es handelt sich um 3 System Center Server, die quasi "gewachsen" sind. (1. installiert, hat von der Kapazität nicht gereicht, 2 weitere + Load Balancer installiert). Kompetenzlevel der Ausführenden ist unklar und die sind im Moment auch nicht erreichbar. Jetzt ist halt die Frage wie schlimm oder nicht dieser Fehler ist?
olc 18 Geschrieben 20. Februar 2009 Melden Geschrieben 20. Februar 2009 Hi, dann versuch einmal nicht den Global Catalog zu befragen, sondern die NCs komplett: ldifde -s [b][color="Red"]DC_DER_JEWEILIGEN_DOMÄNE_ALS_FQDN[/color][/b] -f check_SPN.txt -t [b][color="Red"]389[/color][/b] -d "" -l servicePrincipalName -r "(servicePrincipalName=HOST/mycomputer*)" -p subtree Als DC trägst Du zuerst einen DC ein, auf dem das Event geloggt wird. Wirst Du da nicht fündig (was ich nicht glaube), dann versuche es schrittweise mit jeweils einem DC einer anderen Domäne. AD-Replikation läuft korrekt in der Umgebung (verifiziert)? Viele Grüße olc
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden