Frage zum SPN / Netdom Befehl

[daabm 1.429]

1. Den SPN mußt Du setzen für jeden Namen, den ein Client zum Zugriff verwendet. Interessante Aufgabe übrigens, wenn man CNAME verwendet. Je nach Client macht der gar keine Auflösung ("used as typed"), einmalige Auflösung (verwendet den ersten Record, den er findet), rekursive Auflösung (verwendet den A-Record Name) oder gar erst forward Lookup auf die IP, reverse Lookup auf den Hostname und den dann verwenden. Ein Heidenspaß...

2. Jeder SPN muss natürlich auch "irgendwie" per DNS erreichbar sein. Wie Du das erreichst, ist Deine Entscheidung

[phatair 40]

Danke Martin,

 

das Thema mit dem CNAME hatten wir hier ja schon und es klingt in der Tat sehr spaßig  Wir schauen, dass wir das vermeiden.

 

Wegen dem DNS, da hatte ich wohl einen Denkfehler. Das heißt ich erstelle entweder für den SPN einen eigenen A-Record (oder auch CNAME) und dann wird der SPN darüber aufgelöst.

Oder ich erstelle einen AdditionalDNSHostName mit dem netdom Befehl im Attribut des entsprechenden AD Objekts und dann läuft eben der Automatismus los (DNS Eintrag wird erstellt, RegKey auf dem Server für den AlternateComputerName wird erstellt)

 

Ich dachte jetzt, dass der AdditionalDNSHostName losgelöst davon ist und immer gepflegt werden muss, wenn man mit SPNs arbeitet.

Habe es aber gerade getestet. Der netdom befehl erstellt all diese Werte. Wir bleiben dann weiterhin bei der manuellen Erstellung vom DNS Eintrag und der SPN wird mit SetSPN erstellt.

Ansonsten sind eben viel zu viele Berechtigungen auf dem Ziel Server notwendig, damit der netdom Befehl seine Aufgaben machen kann.

 

Damit sollte das Thema endlich erledigt sein 

 

Gruß,

Steffen