Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SPN Ticket auf allen Servern

Frage Microsoft

Mitglied: mexx

mexx (Level 2) - Jetzt verbinden

05.12.2011 um 10:45 Uhr, 2811 Aufrufe, 1 Kommentar

Hallo,

ich arbeite in einer neuen, mir unbekannten, Umgebung und habe eine Reihe von Überprüfungen laufen und dabei folgendes Ergebnis, welches ich Hinterfrage.

In einer W2k3 Domäne gibt es einen Benutzer mit den Namen TADMIN. Das Konto wurde definitiv händisch angelegt und sollte wohl die Aufgabe haben, dass geplante Tasks und Dienste unter diesen Konto laufen. Um nun genau zu wissen, wozu das Konto da ist und wo es überall eine Aufgabe erfüllt, habe ich umfangreiche Analysescripte laufen lassen und bei der Analyse der SPNs folgenden Eintrag auf allen Servern gefunden.

Registered ServicePrincipalNames for CN=TADMIN,CN=Users,DC=FirmaXY,DC=de:
MSSQLSvc/SRV01.FirmaXY.de:1433
MSSQLSvc/SRV09.FirmaXY.de:1433

1. Der SPN auf den SRV01 macht Sinn, weil auf den Server Dienste (SQL) und geplannte Tasks unter den Konto laufen.
2. Der SPN auf SRV09 macht keinen Sinn, weil der Server nicht mehr existiert.
3. Ich finde dieses Ergebnis auf ALLEN Servern, auch auf denen, wo der TADMIN weder Dienste noch Tasks laufen hat.

Nach meinen Verständnis über SPN, sollte es dieses Ticket doch nur geben, um die Authentifizierzung mit den Kerberos des Domaincontrollers zu machen, FÜR den Dienst. Also warum finde ich die SPN für das Konto dann auf allen Servern? Kann es sein, dass es manuell erzeugt wurde? Eventell sogar über ADSIEdit auf den Domaincontroller und somit per Domainmitgliedschaft auf allen Servern ungewollt gestreut wurde?

Ich bin für jeden Hinweis dankbar,
Mexx
Mitglied: mexx
07.12.2011 um 11:01 Uhr
Ich habe die Lösung gefunden.

"Ein zweites wesentliches Problem besteht darin, dass zusätzliche SPNs manuell (!) erzeugt werden müssen, wenn Dienste nicht unter einem der eingebauten Accounts (Netzwerkdienst, Lokales System) betrieben werden. Wie man in Abbildung 4.42 klar und deutlich sehen kann, ist ein SPN stets das Attribut eines Kontos – standardmäßig des Computerkontos. Läuft der Dienst unter einem der eingebauten Konten, ist es auch vollkommen in Ordnung, dass der SPN ausschließlich beim Computerkonto definiert ist. Wenn der Dienst (bzw. der Anwendungspool im IIS) unter einem Domänenbenutzerkonto betrieben wird, muss ein zusätzlicher SPN, der im Attribut dieses Kontos eingetragen ist, erstellt werden – beispielsweise mit setspn.exe."

Quelle:
http://openbook.galileocomputing.de/windows_server_2008/windows_server_ ...
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
gelöst Microsoft CAL Lizenzen - eine Domäne - verschiedene Standorte mit Servern (11)

Frage von scout71 zum Thema Windows Userverwaltung ...

Microsoft Office
404 Sharepoint Online - Ticket System

Frage von Paragon zum Thema Microsoft Office ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Webbrowser
Windows 7 unbeliebte Internetseite sperren (15)

Frage von Daoudi1973 zum Thema Webbrowser ...

ISDN & Analoganschlüsse
gelöst Splitter - RJ45 zu RJ11? (13)

Frage von Waishon zum Thema ISDN & Analoganschlüsse ...

LAN, WAN, Wireless
gelöst Suche Firmware Image für Cisco Aironet 1252 (10)

Frage von Herbrich19 zum Thema LAN, WAN, Wireless ...

Netzwerke
VLAN Verständnissproblem (9)

Frage von Dragan123 zum Thema Netzwerke ...