PowerScale: OneFS: Sådan finder du dublerede SPN'er (Service Principal Names) i Active Directory, der forhindrer SMB-klienter i at godkende til klyngen

Identificer dublerede SPN'er i Active Directory-domæner:

Dublerede SPN-navne kan forårsage logonfejl for tjenestekontologins og klientlogins, når der godkendes til klyngen. 
 

Et duplikeret SPN kan få en klient til at forsøge at godkende til det forkerte system eller have den forkerte Kerberos-nøgle.
Reference: http://technet.microsoft.com/en-us/library/cc772897%28v=ws.10%29.aspx

SMB-klienter, der godkender ved hjælp af SmartConnect-zonenavne eller -aliasser, kan muligvis ikke godkendes til klyngeshares.

I domænecontrollerlogfiler eller "/var/log/lsassd.log" kan følgende meddelelser angive, at der findes dublerede SPN'er.
 

KDC_ERR_PRINCIPAL_NOT_UNIQUE  - Multiple entries in database

KRB_AP_ERR_MODIFIED   Message stream modified errors

Event ID 11 and/or Event ID 4 on Domain controllers can indicate duplicate SPNs.

Forkert konfiguration af SPN er i Active Directory-miljøet kan medføre dubletter.

Procedure

Der er to muligheder, der kan bruges til at finde duplikerede SPN'er. Setspn er et kommandolinjeværktøj, og LDP er en grafisk grænseflade, der kun er tilgængelig på Windows Server 2003 og nyere. 

Brug af setspn
 
Setspn, som er i Windows 7, 8, Server 2008 og 2012. For Windows Server 2003 kan den fås ved hjælp af følgende link: http://support.microsoft.com/kb/970536
Fra Windows-kommandolinjegrænsefladen skal du bruge "setspn /?" for yderligere muligheder for kommandoen.
Dubletter findes ved hjælp af "setspn -x", dette søger i hele skoven og kan tage tid at behandle i store miljøer.
Kommandoen "setspn q" forespørger efter SPN-navn og kan være bedre til større miljøer.

Eksempel 1:
SPN "HOST/chomper.test.isilon.com" er både registreret til klyngen med navnet "isicluster1" og også til en Windows-server med navnet "win2k1".
 

C:>setspn  -x
Checking domain DC=test,DC=isilon,DC=com
Processing Entry 0
HOST/chomper.test.isilon.com is registered on these accounts
                CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
Found 1 group of duplicate SPNs.

  
Eksempel 2:
I større miljøer kan du forespørge ved hjælp af "setspn q <SPN>"eller bruge LDP som vist nedenfor.
 

C:>setspn  -q HOST/chomper.test.isilon.com
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/isicluster1
                HOST/isicluster1.test.isilon.com
CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/win2k1
                HOST/win2k1.test.isilon.com
 
Existing SPN found!

Hvis der er et SPN et andet sted i miljøet med et andet serviceklasse-id, f.eks. CIFS, findes det ikke med "setspn -x." Du kan søge efter det ved at køre en søgning med jokertegn:

C:\>setspn -q */isilon
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster2,CN=Computers,DC=test,DC=isilon,DC=com
                cifs/chomper.test.isilon.com

Brug af LDP: http://support.microsoft.com/kb/321044

1. Klik på Start, klik på Kør, skriv LDP, og klik derefter på OK.
2. Klik på Forbindelse, og klik derefter på Tilslut.
3. Lad standardindstillingerne være, og klik derefter på OK.
   Bemærk: Hvis du ikke får det forventede resultat, kan du prøve en anden søgning ved hjælp af den globale katalogport (3268) i stedet for standardindstillingen (389).
4. Klik på Forbindelse, og klik derefter på Sammenbind.
5. Lad standardindstillingerne være, og klik derefter på OK.
6. Klik på Vis, og klik derefter på Træ.
7. I dialogboksen Trævisning skal du skrive DC=test,DC=isilon,DC=com i boksen BaseDN
8. Klik på Gennemse, og klik derefter på Søg.
9. I dialogboksen Søg skal du skrive DC=test,DC=isilon,DC=com i feltet BaseDN .
10. I dialogboksen Søg skal du skrive (serviceprincipalname=HOST/<sczonename>) i boksen Filter
11. Skriv servicePrincipalName i dialogboksen Attributter .
12. Under Omfang skal du klikke på Undertræ.
13. Klik på Kør, og luk derefter dialogboksen Søg .
14. Dubletter SPN'er har to poster angivet, der peger på to forskellige Dn

***Searching 
ldap_search_s(Id,  DC=test,DC=isilon,DC=com ,2,
    (serviceprincipalname=HOST/chomper.test.isilon.com) ,attrList, 0 &msg)
    Getting 2 entries:
Dn: CN=ISICLUSTER1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/isicluster1; HOST/isicluster1.test.isilon.com;
      HOST/chomper.test.isilon.com
Dn: CN=WIN2K1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/win2k1; HOST/win2k1.test.isilon.com;
      HOST/chomper.test.isilon.com

 
Opløsning:
Den dublerede post for win2k1 for "HOST/chomper.test.isilon.com" skal fjernes fra Active Directory-domænet.

Den dublerede post kan slettes af en bruger med rettigheder som domæneadministrator, virksomhedsadministrator eller angivet domæneadministration på Active Directory-domænet.
Kommandoen til at fjerne en dubleret post er "setspn -D <spn><accountname>."

C:>setspn  D HOST/chomper.test.isilon.com win2k1
Unregistering ServicePrincipalnames for CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
Updated object

Outputtet ovenfor bekræfter, at "HOST/chomper.test.isilon.com" er blevet uregistreret fra computerens win2k1. Den er nu kun registreret på ISICLUSTER1-maskinens konto.

Relaterede artikler:

"Godkendelsestjenester kan mislykkes, hvis SPN (Service Principal Name) er forkert eller mangler,"89649
"OneFS: Sådan opretter du SPN-konti for at tillade Kerberos-godkendelse ved hjælp af SmartConnect DNS-poster,"16528
"Sådan får du vist en SPN-liste i et Microsoft Active Directory-miljø,"16589
"SQL-klient kan ikke "Masseindsætte" filer fra en Isilon-klynge til en SQL-database," 89574
"Sådan aktiveres Mac OS X Single Sign-on (SSO) til Active Directory-aktiverede CIFS-aktier i OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: SMB2-klienter kan ikke oprette forbindelse til klyngen ved hjælp af Kerberos-godkendelse,"174024
"OneFS: Service Principal Names for Kerberos-godkendelse," 187999