Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SPN Ticket auf allen Servern

Frage Microsoft

Mitglied: mexx

mexx (Level 2) - Jetzt verbinden

05.12.2011 um 10:45 Uhr, 2824 Aufrufe, 1 Kommentar

Hallo,

ich arbeite in einer neuen, mir unbekannten, Umgebung und habe eine Reihe von Überprüfungen laufen und dabei folgendes Ergebnis, welches ich Hinterfrage.

In einer W2k3 Domäne gibt es einen Benutzer mit den Namen TADMIN. Das Konto wurde definitiv händisch angelegt und sollte wohl die Aufgabe haben, dass geplante Tasks und Dienste unter diesen Konto laufen. Um nun genau zu wissen, wozu das Konto da ist und wo es überall eine Aufgabe erfüllt, habe ich umfangreiche Analysescripte laufen lassen und bei der Analyse der SPNs folgenden Eintrag auf allen Servern gefunden.

Registered ServicePrincipalNames for CN=TADMIN,CN=Users,DC=FirmaXY,DC=de:
MSSQLSvc/SRV01.FirmaXY.de:1433
MSSQLSvc/SRV09.FirmaXY.de:1433

1. Der SPN auf den SRV01 macht Sinn, weil auf den Server Dienste (SQL) und geplannte Tasks unter den Konto laufen.
2. Der SPN auf SRV09 macht keinen Sinn, weil der Server nicht mehr existiert.
3. Ich finde dieses Ergebnis auf ALLEN Servern, auch auf denen, wo der TADMIN weder Dienste noch Tasks laufen hat.

Nach meinen Verständnis über SPN, sollte es dieses Ticket doch nur geben, um die Authentifizierzung mit den Kerberos des Domaincontrollers zu machen, FÜR den Dienst. Also warum finde ich die SPN für das Konto dann auf allen Servern? Kann es sein, dass es manuell erzeugt wurde? Eventell sogar über ADSIEdit auf den Domaincontroller und somit per Domainmitgliedschaft auf allen Servern ungewollt gestreut wurde?

Ich bin für jeden Hinweis dankbar,
Mexx
Mitglied: mexx
07.12.2011 um 11:01 Uhr
Ich habe die Lösung gefunden.

"Ein zweites wesentliches Problem besteht darin, dass zusätzliche SPNs manuell (!) erzeugt werden müssen, wenn Dienste nicht unter einem der eingebauten Accounts (Netzwerkdienst, Lokales System) betrieben werden. Wie man in Abbildung 4.42 klar und deutlich sehen kann, ist ein SPN stets das Attribut eines Kontos – standardmäßig des Computerkontos. Läuft der Dienst unter einem der eingebauten Konten, ist es auch vollkommen in Ordnung, dass der SPN ausschließlich beim Computerkonto definiert ist. Wenn der Dienst (bzw. der Anwendungspool im IIS) unter einem Domänenbenutzerkonto betrieben wird, muss ein zusätzlicher SPN, der im Attribut dieses Kontos eingetragen ist, erstellt werden – beispielsweise mit setspn.exe."

Quelle:
http://openbook.galileocomputing.de/windows_server_2008/windows_server_ ...
Bitte warten ..
Ähnliche Inhalte
Apache Server
gelöst OS Ticket v1.10 Mailversand (5)

Frage von specialuser zum Thema Apache Server ...

Microsoft Office
404 Sharepoint Online - Ticket System

Frage von Paragon zum Thema Microsoft Office ...

LAN, WAN, Wireless
gelöst Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (23)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Bootprobleme Dell Server mit Windows Server 2012 Essentials (6)

Frage von tisibi zum Thema Windows Server ...

Neue Wissensbeiträge
LAN, WAN, Wireless

Neue Cisco Catalyst-Serie 9000

Information von Kuemmel zum Thema LAN, WAN, Wireless ...

Sicherheit

Millionen Euro in den Sand gesetzt?

(3)

Information von transocean zum Thema Sicherheit ...

Heiß diskutierte Inhalte
Netzwerke
Mobile Einwahl IPSec VPN von iPhone iPad T-Mobile zur Pfsense (14)

Frage von Spitzbube zum Thema Netzwerke ...

LAN, WAN, Wireless
Eine Netzwerkdose im Wechsel für zwei unterschiedliche Netze (12)

Frage von kartoffelesser zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Ordner-Freigabe außerhalb der Domäne (9)

Frage von Remsboys zum Thema Windows Netzwerk ...

Windows Server
gelöst "Anmelden über Remotedesktopdienste verweigern" lässt sich nicht bearbeiten! (9)

Frage von schollw zum Thema Windows Server ...