daabm 1.455 Geschrieben 18. Dezember Melden Geschrieben 18. Dezember (bearbeitet) Hallo zusammen. Kann jemand entweder bestätigen, daß das so nicht funktioniert oder mir nen Tip geben, wie ich es zum Funktionieren bekomme? (Englisch dürfte ok sein, wenn ich überlege wer hier als Beantworter überhaupt in Frage kommt ) Wir haben dazu ein Ticket beim MS Support offen, und die wollen jetzt "keep customer busy" mit mir spielen... Danke und Gruß Martin 2 Domains with a forest trust Adatum.com Contoso.com User in Domain Adatum.com Principal (User or Computer) in Contoso.com Register arbitrary SPNs on the Contoso.com principal, one with a port, one without a port. MyService/MyHost.fabrikam.com MyService/MyHost.fabrikam.com:1433 Add a realm mapping on a member computer in either of these domains (doesn’t matter if this computer is a member of Adatum.com or Contoso.com) to point these arbitrary SPN to Contoso.com (https://gpsearch.azurewebsites.net/#1823) “Contoso.com” = “.fabrikam.com” Login with ADatum.com User on that computer and request tickets for both SPNs. Klist get MyService/MyHost.fabrikam.com (will work) Klist get MyService/MyHost.fabrikam.com@Contoso.com (will work) Klist get MyService/MyHost.fabrikam.com:1433@Contoso.com (will work) Klist get MyService/MyHost.fabrikam.com:1433 (will fail with error 0x6fb) Review the Security-Kerberos eventlog entries to find the TGS request for the last SPN has been sent to Adatum.com instead of Contoso.com. bearbeitet 18. Dezember von daabm
cj_berlin 1.541 Geschrieben 18. Dezember Melden Geschrieben 18. Dezember Moin, wollte gerade schreiben "und sowas auf den Freitag?", und dann fiel mir auf, dass ja noch gar nicht Freitag ist. Funktioniert es evtl. wenn man den ganzen FQDN in das Mapping aufnimmt und nicht nur die Domain? Ich bin mir gerade nicht sicher, ob das Mapping das Verhalten von DsMakeSpn beeinflusst oder erst durch die LSA angehängt wird.
daabm 1.455 Geschrieben 18. Dezember Autor Melden Geschrieben 18. Dezember Alles durchprobiert (auch sicherheitshalber mit ksetup): FQDN in das Mapping, FQDN mit Port in das Mapping, hilft alles nix. Sobald ein Port dahintersteht, geht die TGS-Anfrage gegen die User-Domäne. Sourcecode-Zugriff hab ich leider nicht, kann also nicht schauen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden