Jump to content

Frage zum SPN / Netdom Befehl

phatair

Von phatair
in Active Directory Forum

Direkt zur Lösung Gelöst von MurdocX,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene BeitrÀge

phatair Experienced

phatair   47

Geschrieben
Geschrieben

Hallo zusammen,

 

ich habe folgends Problem bzw. verstehe das Verhalten nicht so ganz.

Wir haben bei einigen Windows Server 2019 Servern den SPN ĂŒber den Netdom Befehl eingetragen.

 

Das Auslesen des SPN ĂŒber "netdom computername <server name> /enum" funktioniert dann manchmal mit dem DomĂ€nen Administrator und manchmal mit unseren "Server Admins".

Die Fehlermeldung lautet dann einfach nur "Zugriff verweigert".

Ein wirkliches Muster habe ich noch nicht rausgefunden. Beide User haben auf das Attribut "msDS-AdditionalDnsHostName" Leserechte.

 

Soweit ich das verstehe, sollte das doch ausreichen um mit dem oben genannten Befehl den SPN auszulesen.

Schreibrechte auf das Attribut brauche ich ja nur, wenn ich den SPN mit dem User setzen will. Aber auch das Rechte hÀtte der User.

 

Oder was fĂŒr Voraussetzungen mĂŒssen noch gegeben sein, damit man den SPN auslesen kann?

 

Vielen Dank

GrĂŒĂŸe

  • Beste Lösung
MurdocX Veteran

MurdocX   1.039

Geschrieben
  • Beste Lösung
Geschrieben
vor 22 Minuten schrieb phatair:

Oder was fĂŒr Voraussetzungen mĂŒssen noch gegeben sein, damit man den SPN auslesen kann?

Das richtige Tool nutzen ;-)

 

Probiere es mal mit dem Tool fĂŒr SPN -> setspn.exe 

setspn.exe -L home-srvmgmt01

 

  • Danke 1
phatair Experienced

phatair   47

Geschrieben
  • Autor
Geschrieben

Hi Jan,

 

ha...das ist ja faszinierend. Damit funktioniert es.

Das heißt dann wohl auch, dass wir setspn auch zum setzen der SPNs nehmen sollten und nicht mehr netdom, oder?

 

Wenn ich es richtig sehe, ist netdom dann die "alte" Variante? Ich war einfach nur verwundert, da das setzen der SPN bisher damit immer gut funktioniert hat.

Nur beim auslesen ist nun aufgefallen, dass es bei unterschiedlichen Usern plötzlich Probleme gab (obwohl deren Berechtigung auf die AD Objekte identisch waren).

 

Gruß,

Steffen 

MurdocX Veteran

MurdocX   1.039

Geschrieben
Geschrieben
vor 14 Minuten schrieb phatair:

Das heißt dann wohl auch, dass wir setspn auch zum setzen der SPNs nehmen sollten und nicht mehr netdom, oder?

Genau 👍 HĂ€ndisch im AD geht auch.

 

vor 15 Minuten schrieb phatair:

Wenn ich es richtig sehe, ist netdom dann die "alte" Variante?

SetSPN gibts schon eine Ewigkeit. Ich vermute schon lÀnger als 20 Jahre. Daher beantworte ich das mal mit "nein" ;)

  • Danke 1
phatair Experienced

phatair   47

Geschrieben
  • Autor
Geschrieben

Top, danke dir.

Dann werden wir in Zukunft SetSPN verwenden und nicht mehr netdom.

Mich wundert es zwar immer noch, warum es bei netdom den "Zugriff verweigert" Fehler gibt, aber mir fehlt die Zeit das jetzt zu klÀren :) 

Das die Berechtigungen passen, sieht man ja eigentlich am funktionierenden SetSPN Befehl.

 

Schönen Abend Dir.

  • Like 1
NilsK Grand Master

NilsK   3.109

Geschrieben
Geschrieben

Moin, 

 

Nur weil das Tool behauptet, dass der Zugriff verweigert wurde, muss das ja nicht stimmen. Vielleicht versucht es den Zugriff auch nur auf einem Weg, der nicht funktioniert, fÀngt diesen Fehler aber nicht adÀquat ab. 

 

Gruß, Nils

  • Danke 1
daabm Grand Master

daabm   1.465

Geschrieben
Geschrieben

netdom verwendet AFAIK den WinNT-Provider (wußte bisher auch nicht, daß das SPNs setzen kann?!?), SetSPN verwendet ADSI. So gesehen stimmt "netdom ist die alte Variante". Sollte aber nur eine Rolle spielen, wenn irgendwas mit dem Builtin-Container in AD gemacht wurde.

 

Frau kann auch einfach direkt das Attribut servicePrincipalName bearbeiten mit LDAP-Mitteln ihrer Wahl (System.DirectoryServices, Powershell Set-ADObject/Set-ADComputer, dsmod.exe, csvde.exe, ldifde.exe usw... :-) )

  • Danke 1
phatair Experienced

phatair   47

Geschrieben
  • Autor
Geschrieben

Vielen Dank Martin.

 

Ich habe jetzt auch rausgefunden woran es liegt, dass ich mit dem DomÀnen Admin "Zugriff verweigert" beim abrufen der SPNs mit dem NetDom Befehl erhalte.

 

Bei uns sind die DomĂ€nen Admin Accounts auf den Servern und Clients aus der "Administratoren Gruppe" entfernt. Der NetDom Befel benötigt aber wohl die administrativen Rechte um den SPN auszulesen, da ich ja remote auf den Server zugreifen wĂŒrde (meine Vermutung). Wenn ich den DomĂ€nen Admin in die "Administratoren Gruppe" aufnehme, funktioniert auch der NetDom Befehl.

 

Wenn ich es also richtig sehe, dann fragt der setspn Befehl die Infos direkt aus dem AD Objekt ab, der netdom Befehl fragt diese dann wohl vom Server direkt ab.

Das ist wahrscheinlich die Info vom Martin, dass Netdom WinNET-Provider nutzt und SetSPN ADSI nutzt.

 

Ich dachte auch immer, dass beim SPN setzen auch lokal auf der Maschine was verĂ€ndert werden muss und das mit dem netdom Befehl automatisch durchgefĂŒhrt wird.

Die Info hatte ich hier gefunden: https://woshub.com/add-alternate-computer-name-windows/

Zitat

The netdom command will register a CNAME record in DNS, add the new name to the AlternateComputerNames registry parameter (described below), and update the value of the servicePrincipalName and msDS-AdditionalDnsHostName attributes for the computer account in AD.

 

Macht das der setspn auch oder setzt der nur den Wert im AD Objekt und ich mĂŒsste den registry parameter dann manuell auf dem entsprechenden Server setzen?

 

GrĂŒĂŸe

daabm Grand Master

daabm   1.465

Geschrieben
Geschrieben

SetSPN macht nur AD, nichts mit DNS oder gar Registry. Ist i.d.R. auch nicht erforderlich, das ist alles altes KompatibilitĂ€tsgeraffel :-) Um AlternateComputerNames in der Registry zu setzen, wirst Du wohl Adminrechte brauchen. Aber wie gesagt, ich wĂŒsste nicht wozu. Aber wieder was gelernt und ein Grund mehr, einen Bogen um netdom.exe zu machen. Ich hasse so "kombinierte" Tools, die an 4 Stellen gleichzeitig rumschrauben...

  • Danke 1
phatair Experienced

phatair   47

Geschrieben
  • Autor
Geschrieben

Hi Martin,

 

danke dIr!

Dann nutzen wir ab sofort auch nur noch SetSPN. Soweit ich das verstanden haben, nutzt man die SPNs ja auch nur wegen der Kerberos Authentifizierung und da reicht es ja, wenn in der AD die EintrÀge gesetzt werden.

Gruß,

Steffen 

daabm Grand Master

daabm   1.465

Geschrieben
Geschrieben (bearbeitet)

Ich verwende noch nicht mal setspn - das ist nĂ€mlich grenzenlos unfĂ€hig, wenn es ĂŒber Forestgrenzen hinweg geht. Du kannst den Inhalt von servicePrincipalName auch "einfach so" direkt schreiben, und das geht dann immer und gegen jedes System, gegen das Du Dich authentifizieren kannst: Set-ADxyz <AccountName> -add @{ servicePrincipalName = 'HTTP/Tresor.Raffgier.com' } -Server 'Bank.Raffgier.com'

ADxyz kann dabei ADServiceAccount, ADComputer, ADUser, ADObject sein. Aber wir schweifen ab :-)

bearbeitet von daabm
  • Danke 1
phatair Experienced

phatair   47

Geschrieben
  • Autor
Geschrieben

Das mit Set-ADxyz ist natĂŒrlich der einfachste Weg, dass stimmt.

Ich dachte immer, dass man die speziellen Tools wie netdom oder eben SetSPN dafĂŒr nutzen muss, da man sonst mehrere manuelle Schritte durchfĂŒhren muss.

Aber dann schaue ich mir Set-AD mal an.

 

Wenn wir jetzt bei dem Thema schon sind, vielleicht kann mir jemand die Frage auch beantworten :)

Ich muss ja dann eine "Service class" mitgeben. Hier steht ja z.b. dann HOST/ oder RestrictedKrbHost/ mit dabei.

Wir setzen den SPN vor allem fĂŒr Webservcies oder SMB Shares. Da reicht dann ja ein HOST oder irre ich mich da?

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto fĂŒr unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
ZurĂŒck zur Übersicht


×
×
  • Neu erstellen...