Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SPN Ticket auf allen Servern

Frage Microsoft

Mitglied: mexx

mexx (Level 2) - Jetzt verbinden

05.12.2011 um 10:45 Uhr, 2817 Aufrufe, 1 Kommentar

Hallo,

ich arbeite in einer neuen, mir unbekannten, Umgebung und habe eine Reihe von Überprüfungen laufen und dabei folgendes Ergebnis, welches ich Hinterfrage.

In einer W2k3 Domäne gibt es einen Benutzer mit den Namen TADMIN. Das Konto wurde definitiv händisch angelegt und sollte wohl die Aufgabe haben, dass geplante Tasks und Dienste unter diesen Konto laufen. Um nun genau zu wissen, wozu das Konto da ist und wo es überall eine Aufgabe erfüllt, habe ich umfangreiche Analysescripte laufen lassen und bei der Analyse der SPNs folgenden Eintrag auf allen Servern gefunden.

Registered ServicePrincipalNames for CN=TADMIN,CN=Users,DC=FirmaXY,DC=de:
MSSQLSvc/SRV01.FirmaXY.de:1433
MSSQLSvc/SRV09.FirmaXY.de:1433

1. Der SPN auf den SRV01 macht Sinn, weil auf den Server Dienste (SQL) und geplannte Tasks unter den Konto laufen.
2. Der SPN auf SRV09 macht keinen Sinn, weil der Server nicht mehr existiert.
3. Ich finde dieses Ergebnis auf ALLEN Servern, auch auf denen, wo der TADMIN weder Dienste noch Tasks laufen hat.

Nach meinen Verständnis über SPN, sollte es dieses Ticket doch nur geben, um die Authentifizierzung mit den Kerberos des Domaincontrollers zu machen, FÜR den Dienst. Also warum finde ich die SPN für das Konto dann auf allen Servern? Kann es sein, dass es manuell erzeugt wurde? Eventell sogar über ADSIEdit auf den Domaincontroller und somit per Domainmitgliedschaft auf allen Servern ungewollt gestreut wurde?

Ich bin für jeden Hinweis dankbar,
Mexx
Mitglied: mexx
07.12.2011 um 11:01 Uhr
Ich habe die Lösung gefunden.

"Ein zweites wesentliches Problem besteht darin, dass zusätzliche SPNs manuell (!) erzeugt werden müssen, wenn Dienste nicht unter einem der eingebauten Accounts (Netzwerkdienst, Lokales System) betrieben werden. Wie man in Abbildung 4.42 klar und deutlich sehen kann, ist ein SPN stets das Attribut eines Kontos – standardmäßig des Computerkontos. Läuft der Dienst unter einem der eingebauten Konten, ist es auch vollkommen in Ordnung, dass der SPN ausschließlich beim Computerkonto definiert ist. Wenn der Dienst (bzw. der Anwendungspool im IIS) unter einem Domänenbenutzerkonto betrieben wird, muss ein zusätzlicher SPN, der im Attribut dieses Kontos eingetragen ist, erstellt werden – beispielsweise mit setspn.exe."

Quelle:
http://openbook.galileocomputing.de/windows_server_2008/windows_server_ ...
Bitte warten ..
Ähnliche Inhalte
Apache Server
gelöst OS Ticket v1.10 Mailversand (5)

Frage von specialuser zum Thema Apache Server ...

Microsoft Office
404 Sharepoint Online - Ticket System

Frage von Paragon zum Thema Microsoft Office ...

LAN, WAN, Wireless
gelöst Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (23)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Bootprobleme Dell Server mit Windows Server 2012 Essentials (6)

Frage von tisibi zum Thema Windows Server ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows 7
Bluesreens unternehmensweit (18)

Frage von SYS64738 zum Thema Windows 7 ...

LAN, WAN, Wireless
IP Adressen - Modem - Switch - Accesspoint (17)

Frage von teuferl82 zum Thema LAN, WAN, Wireless ...

Festplatten, SSD, Raid
gelöst Raid-Controller (Areca) Datenverlust trotz R5 (16)

Frage von sebastian2608 zum Thema Festplatten, SSD, Raid ...

Windows Netzwerk
DNS ins mehreren Subnetzen (13)

Frage von joerg zum Thema Windows Netzwerk ...