Команда “setspn -x” теперь регистронезависимая

Как вы знаете, дублирующиеся SPN в домене AD DS приводят к сбоям при аутентификации с использованием Kerberos, заметить которые вы можете по появлению ошибок KRB_AP_ERR_MODIFIED и событиям №11 в журналах ваших систем. Для проактивного исправления проблемы, начиная с Windows Server 2008, встроенное средство setspn дополнено ключом “-x”, который выводит список дублирующихся SPN в домене (либо в лесу, если использован ещё и ключ “-f”). Многие компании используют результат работы команды “setspn -x -f”, как источник данных для системы мониторинга.

Оказывается, всё это время, практически никто из IT-администраторов (и я тоже) не обращал внимания, что ключ “-x” производил сравнение SPN с учётом регистра! Т.е. следующие SPN он считал разными и не выводил в результате своей работы:

  • HOST/SERVERNAME
  • HOST/ServerName

Начиная с Windows 10, Microsoft изменила поведение средства setspn на регистронезависимое и, теперь, в вывод setspn будут попадать все дублирующиеся SPN, независимо от их регистра.

Несмотря на то, что Microsoft утверждает, что в среде Windows SPN не-регистрозависимые, Shane Young обнаружил, что SharePoint так не считает.

Я советую всем администраторам AD DS проверить свою инфраструктуру при помощи setspn из поставки Windows 10, хотя бы один раз, чтобы найти ДЕЙСТВИТЕЛЬНО ВСЕ дублирующиеся SPN (я у себя нашёл ;).

Leave a Reply

Your email address will not be published. Required fields are marked *