PowerScale: OneFS: Slik finner du dupliserte hovednavn for tjeneste (SPN-er) i Active Directory som hindrer SMB-klienter i å godkjenne til klyngen

Identifisere dupliserte SPNer i Active Directory-domener:

Dupliserte SPN-navn kan føre til påloggingsfeil for pålogginger til tjenestekontoen og klientpålogginger ved godkjenning til klyngen. 
 

En duplisert SPN kan føre til at en klient prøver å godkjenne til feil system eller har feil Kerberos-nøkkel.
Referanse: http://technet.microsoft.com/en-us/library/cc772897%28v=ws.10%29.aspx

SMB-klienter som godkjennes ved hjelp av SmartConnect-sonenavn eller aliaser, kanskje ikke kan godkjennes til klyngeressursene.

I domenekontrollerlogger eller "/var/log/lsassd.log" kan følgende meldinger indikere at det finnes dupliserte SPN-er.
 

KDC_ERR_PRINCIPAL_NOT_UNIQUE  - Multiple entries in database

KRB_AP_ERR_MODIFIED   Message stream modified errors

Event ID 11 and/or Event ID 4 on Domain controllers can indicate duplicate SPNs.

Feil konfigurasjon av SPNer i Active Directory-miljøet kan føre til duplikater.

Prosedyre

Det finnes to alternativer som kan brukes til å finne dupliserte SPNer. Setspn er et kommandolinjeverktøy, og LDP er et grafisk grensesnitt som bare er tilgjengelig på Windows Server 2003 og nyere. 

Bruke setspn
 
Setspn som er i Windows 7, 8, Server 2008 og 2012. For Windows Server 2003 kan den fås ved å bruke følgende lenke: http://support.microsoft.com/kb/970536
Fra kommandolinjegrensesnittet i Windows bruker du "setspn /?" for flere alternativer for kommandoen.
Duplikater er funnet ved hjelp av "setspn -x", dette søker i hele skogen og kan ta tid å behandle i store miljøer.
Kommandoen "setspn q" spør etter SPN-navn og kan være bedre for større miljøer.

Eksempel 1:
SPN-en "HOST/chomper.test.isilon.com" er registrert både i klyngen med navnet "isicluster1" og en Windows-server med navnet "win2k1".
 

C:>setspn  -x
Checking domain DC=test,DC=isilon,DC=com
Processing Entry 0
HOST/chomper.test.isilon.com is registered on these accounts
                CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
Found 1 group of duplicate SPNs.

  
Eksempel 2:
I større miljøer spør du ved hjelp av "setspn q <SPN">eller bruker LDP som vist nedenfor.
 

C:>setspn  -q HOST/chomper.test.isilon.com
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/isicluster1
                HOST/isicluster1.test.isilon.com
CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/win2k1
                HOST/win2k1.test.isilon.com
 
Existing SPN found!

Hvis det finnes en SPN et annet sted i miljøet med en annen serviceklasseidentifikator, for eksempel CIFS, blir den ikke funnet med "setspn -x." Du kan søke etter det ved å kjøre et jokertegnsøk:

C:\>setspn -q */isilon
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster2,CN=Computers,DC=test,DC=isilon,DC=com
                cifs/chomper.test.isilon.com

Bruke LDP: http://support.microsoft.com/kb/321044

1. Klikk Start, klikk Kjør, skriv inn LDP, og klikk deretter OK.
2. Klikk Tilkobling, og klikk deretter Koble til.
3. La standardinnstillingene, og klikk deretter OK.
   Merk: Hvis du ikke får det forventede resultatet, kan du prøve et annet søk ved å bruke Global katalogport (3268) i stedet for standardinnstillingen (389).
4. Klikk Tilkobling, og klikk deretter Bind.
5. La standardinnstillingene, og klikk deretter OK.
6. Klikk Vis, og klikk deretter Tre.
7. I dialogboksen Trevisning skriver du inn DC=test,DC=isilon,DC=com i BaseDN-boksen
8. Klikk Bla gjennom, og klikk deretter Søk.
9. I dialogboksen Søk skriver du inn DC=test,DC=isilon,DC=com i BaseDN-boksen .
10. I dialogboksen Søk skriver du inn (serviceprincipalname=HOST/<sczonename>) i Filter-boksen
11. I dialogboksen Attributter skriver du inn servicePrincipalName.
12. Under Omfang klikker du Undertree.
13. Klikk Kjør, og lukk deretter dialogboksen Søk .
14. Duplikater SPNer har to oppføringer oppført som peker til to forskjellige Dn

***Searching 
ldap_search_s(Id,  DC=test,DC=isilon,DC=com ,2,
    (serviceprincipalname=HOST/chomper.test.isilon.com) ,attrList, 0 &msg)
    Getting 2 entries:
Dn: CN=ISICLUSTER1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/isicluster1; HOST/isicluster1.test.isilon.com;
      HOST/chomper.test.isilon.com
Dn: CN=WIN2K1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/win2k1; HOST/win2k1.test.isilon.com;
      HOST/chomper.test.isilon.com

 
Resolusjon:
Duplikatoppføringen for win2k1 for "HOST/chomper.test.isilon.com" bør fjernes fra Active Directory-domenet.

Den dupliserte oppføringen kan fjernes av en bruker med domeneadministrator, bedriftsadministrator eller angitte domeneadministratorrettigheter på Active Directory-domenet.
Kommandoen for å fjerne en duplisert oppføring er "setspn -D <spn><accountname>."

C:>setspn  D HOST/chomper.test.isilon.com win2k1
Unregistering ServicePrincipalnames for CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
Updated object

Utdataene ovenfor bekrefter at "HOST/chomper.test.isilon.com" er avregistrert fra win2k1-datamaskinen. Den er nå bare registrert på den ISICLUSTER1 maskinkontoen.

Relaterte artikler:

"Godkjenningstjenester kan mislykkes hvis tjenestekontohavernavnet (SPN) er feil eller mangler,"89649
"OneFS: Slik oppretter du SPN-kontoer for å tillate Kerberos-godkjenning ved hjelp av SmartConnect DNS-oppføringer,"16528
"Slik viser du en SPN-liste i et Microsoft Active Directory-miljø,"16589
"SQL-klient kan ikke "Masseinnsetting"-filer fra en Isilon-klynge til en SQL-database," 89574
"Slik aktiverer du Mac OS X enkel pålogging (SSO) til Active Directory-aktiverte CIFS-delinger i OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: SMB2-klienter kan ikke koble til klyngen ved hjelp av Kerberos-godkjenning,"174024
"OneFS: Tjenestehovednavn for Kerberos-godkjenning," 187999