Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SPN Ticket auf allen Servern

Frage Microsoft

Mitglied: mexx

mexx (Level 2) - Jetzt verbinden

05.12.2011 um 10:45 Uhr, 2779 Aufrufe, 1 Kommentar

Hallo,

ich arbeite in einer neuen, mir unbekannten, Umgebung und habe eine Reihe von Überprüfungen laufen und dabei folgendes Ergebnis, welches ich Hinterfrage.

In einer W2k3 Domäne gibt es einen Benutzer mit den Namen TADMIN. Das Konto wurde definitiv händisch angelegt und sollte wohl die Aufgabe haben, dass geplante Tasks und Dienste unter diesen Konto laufen. Um nun genau zu wissen, wozu das Konto da ist und wo es überall eine Aufgabe erfüllt, habe ich umfangreiche Analysescripte laufen lassen und bei der Analyse der SPNs folgenden Eintrag auf allen Servern gefunden.

Registered ServicePrincipalNames for CN=TADMIN,CN=Users,DC=FirmaXY,DC=de:
MSSQLSvc/SRV01.FirmaXY.de:1433
MSSQLSvc/SRV09.FirmaXY.de:1433

1. Der SPN auf den SRV01 macht Sinn, weil auf den Server Dienste (SQL) und geplannte Tasks unter den Konto laufen.
2. Der SPN auf SRV09 macht keinen Sinn, weil der Server nicht mehr existiert.
3. Ich finde dieses Ergebnis auf ALLEN Servern, auch auf denen, wo der TADMIN weder Dienste noch Tasks laufen hat.

Nach meinen Verständnis über SPN, sollte es dieses Ticket doch nur geben, um die Authentifizierzung mit den Kerberos des Domaincontrollers zu machen, FÜR den Dienst. Also warum finde ich die SPN für das Konto dann auf allen Servern? Kann es sein, dass es manuell erzeugt wurde? Eventell sogar über ADSIEdit auf den Domaincontroller und somit per Domainmitgliedschaft auf allen Servern ungewollt gestreut wurde?

Ich bin für jeden Hinweis dankbar,
Mexx
Mitglied: mexx
07.12.2011 um 11:01 Uhr
Ich habe die Lösung gefunden.

"Ein zweites wesentliches Problem besteht darin, dass zusätzliche SPNs manuell (!) erzeugt werden müssen, wenn Dienste nicht unter einem der eingebauten Accounts (Netzwerkdienst, Lokales System) betrieben werden. Wie man in Abbildung 4.42 klar und deutlich sehen kann, ist ein SPN stets das Attribut eines Kontos – standardmäßig des Computerkontos. Läuft der Dienst unter einem der eingebauten Konten, ist es auch vollkommen in Ordnung, dass der SPN ausschließlich beim Computerkonto definiert ist. Wenn der Dienst (bzw. der Anwendungspool im IIS) unter einem Domänenbenutzerkonto betrieben wird, muss ein zusätzlicher SPN, der im Attribut dieses Kontos eingetragen ist, erstellt werden – beispielsweise mit setspn.exe."

Quelle:
http://openbook.galileocomputing.de/windows_server_2008/windows_server_ ...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
AD-Berechtigungen von zwei Servern miteinander vergleichen (3)

Frage von s0m3ting zum Thema Windows Server ...

Batch & Shell
gelöst Textdateien TXT in allen Verzeichnissen suchen und zusammenfassen (19)

Frage von chgs2011 zum Thema Batch & Shell ...

Windows Netzwerk
gelöst Zertifizierungstelle in allen Browsern vertrauen (2)

Frage von Mattes1000 zum Thema Windows Netzwerk ...

Netzwerkprotokolle
OIDs von z.b. HP Servern - Raidcontroller

Frage von Edaseins zum Thema Netzwerkprotokolle ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...