Архив рубрики: Windows 10

Команда «setspn -x» теперь регистронезависимая

Как вы знаете, дублирующиеся SPN в домене AD DS приводят к сбоям при аутентификации с использованием Kerberos, заметить которые вы можете по появлению ошибок KRB_AP_ERR_MODIFIED и событиям №11 в журналах ваших систем. Для проактивного исправления проблемы, начиная с Windows Server 2008, встроенное средство setspn дополнено ключом «-x», который выводит список дублирующихся SPN в домене (либо в лесу, если использован ещё и ключ «-f»). Многие компании используют результат работы команды «setspn -x -f», как источник данных для системы мониторинга.

Оказывается, всё это время, практически никто из IT-администраторов (и я тоже) не обращал внимания, что ключ «-x» производил сравнение SPN с учётом регистра! Т.е. следующие SPN он считал разными и не выводил в результате своей работы:

  • HOST/SERVERNAME
  • HOST/ServerName

Начиная с Windows 10, Microsoft изменила поведение средства setspn на регистронезависимое и, теперь, в вывод setspn будут попадать все дублирующиеся SPN, независимо от их регистра.

Несмотря на то, что Microsoft утверждает, что в среде Windows SPN не-регистрозависимые, Shane Young обнаружил, что SharePoint так не считает.

Я советую всем администраторам AD DS проверить свою инфраструктуру при помощи setspn из поставки Windows 10, хотя бы один раз, чтобы найти ДЕЙСТВИТЕЛЬНО ВСЕ дублирующиеся SPN (я у себя нашёл ;).