daabm 1.465 Geschrieben 18. Dezember 2025 Melden Geschrieben 18. Dezember 2025 (bearbeitet) Hallo zusammen. Kann jemand entweder bestätigen, daß das so nicht funktioniert oder mir nen Tip geben, wie ich es zum Funktionieren bekomme? (Englisch dürfte ok sein, wenn ich überlege wer hier als Beantworter überhaupt in Frage kommt ) Wir haben dazu ein Ticket beim MS Support offen, und die wollen jetzt "keep customer busy" mit mir spielen... Danke und Gruß Martin 2 Domains with a forest trust Adatum.com Contoso.com User in Domain Adatum.com Principal (User or Computer) in Contoso.com Register arbitrary SPNs on the Contoso.com principal, one with a port, one without a port. MyService/MyHost.fabrikam.com MyService/MyHost.fabrikam.com:1433 Add a realm mapping on a member computer in either of these domains (doesn’t matter if this computer is a member of Adatum.com or Contoso.com) to point these arbitrary SPN to Contoso.com (https://gpsearch.azurewebsites.net/#1823) “Contoso.com” = “.fabrikam.com” Login with ADatum.com User on that computer and request tickets for both SPNs. Klist get MyService/MyHost.fabrikam.com (will work) Klist get MyService/MyHost.fabrikam.com@Contoso.com (will work) Klist get MyService/MyHost.fabrikam.com:1433@Contoso.com (will work) Klist get MyService/MyHost.fabrikam.com:1433 (will fail with error 0x6fb) Review the Security-Kerberos eventlog entries to find the TGS request for the last SPN has been sent to Adatum.com instead of Contoso.com. bearbeitet 18. Dezember 2025 von daabm
cj_berlin 1.567 Geschrieben 18. Dezember 2025 Melden Geschrieben 18. Dezember 2025 Moin, wollte gerade schreiben "und sowas auf den Freitag?", und dann fiel mir auf, dass ja noch gar nicht Freitag ist. Funktioniert es evtl. wenn man den ganzen FQDN in das Mapping aufnimmt und nicht nur die Domain? Ich bin mir gerade nicht sicher, ob das Mapping das Verhalten von DsMakeSpn beeinflusst oder erst durch die LSA angehängt wird.
daabm 1.465 Geschrieben 18. Dezember 2025 Autor Melden Geschrieben 18. Dezember 2025 Alles durchprobiert (auch sicherheitshalber mit ksetup): FQDN in das Mapping, FQDN mit Port in das Mapping, hilft alles nix. Sobald ein Port dahintersteht, geht die TGS-Anfrage gegen die User-Domäne. Sourcecode-Zugriff hab ich leider nicht, kann also nicht schauen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden