Moin Moin,
Nach dem Aufsetzen eines zusätzlichen (zweiten) Domain Controllers laut Frankys Anleitung mag dieser nicht so recht funktionieren. Die Fehlersuche gestaltet sich kompliziert. Unter anderem gibt es folgenden Hinweis: Duplicate SPNs, dadurch unter anderem Kerberos Probleme.
Laut Analyse sind auf dem AD Konto des Exchange Servers (EX01) auch SPNs des Active Directory Controllers (ADDC01) registriert. Leider finde ich keine Quellen, welche SPNs im Exchange Server Maschinen Konto tatsächlich benötigt werden. Woher diese anderen Einträge kommen, ist mir schleierhaft.
Nomenklatur:
EX01 Exchange Server (2016)
ADDC01 Domaincontroller
solaris.example.com Domain
Doppelte Einträge suchen:
C:\>setspn -X
Die Domäne "DC=solaris,DC=example,DC=com" wird überprüft.
Eintrag 0 wird verarbeitet.
HOST/ADDC01/SOLARIS wird auf diesen Konten registriert:
CN=EX01,CN=Computers,DC=solaris,DC=example,DC=com
CN=ADDC01,OU=Domain Controllers,DC=solaris,DC=example,DC=com
HOST/ADDC01 wird auf diesen Konten registriert:
CN=EX01,CN=Computers,DC=solaris,DC=example,DC=com
CN=ADDC01,OU=Domain Controllers,DC=solaris,DC=example,DC=com
exchangeAB/ADDC01 wird auf diesen Konten registriert:
CN=EX01,CN=Computers,DC=solaris,DC=example,DC=com
CN=ADDC01,OU=Domain Controllers,DC=solaris,DC=example,DC=com
WSMAN/ADDC01 wird auf diesen Konten registriert:
CN=EX01,CN=Computers,DC=solaris,DC=example,DC=com
CN=ADDC01,OU=Domain Controllers,DC=solaris,DC=example,DC=com
RestrictedKrbHost/ADDC01 wird auf diesen Konten registriert:
CN=EX01,CN=Computers,DC=solaris,DC=example,DC=com
CN=ADDC01,OU=Domain Controllers,DC=solaris,DC=example,DC=com
5 Gruppen von doppelten SPNs gefunden.
alle Einträge des Exchange Servers EX01:
C:\>setspn -Q */*EX01* >> spn_records.txt
C:\>type spn_records.txt
Die Domäne "DC=solaris,DC=example,DC=com" wird überprüft.
CN=EX01,CN=Computers,DC=solaris,DC=example,DC=com
IMAP/EX01
IMAP/ex01.solaris.example.com
IMAP4/EX01
IMAP4/ex01.solaris.example.com
POP/EX01
POP/ex01.solaris.example.com
POP3/EX01
POP3/ex01.solaris.example.com
exchangeRFR/EX01
exchangeRFR/ex01.solaris.example.com
exchangeMDB/EX01
exchangeMDB/ex01.solaris.example.com
SMTP/EX01
SMTP/ex01.solaris.example.com
SmtpSvc/EX01
SmtpSvc/ex01.solaris.example.com
WSMAN/ex01.solaris.example.com
HOST/ex01.solaris.example.com/solaris.example.com
exchangeAB/ex01.solaris.example.com
HOST/ex01.solaris.example.com/SOLARIS
DNS/ex01.solaris.example.com
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/ex01.solaris.example.com
RestrictedKrbHost/ex01.solaris.example.com
HOST/ex01.solaris.example.com
WSMAN/ADDC01
exchangeAB/ADDC01
RestrictedKrbHost/ADDC01
HOST/ADDC01
HOST/EX01/solaris.example.com
HOST/ADDC01/SOLARIS
HOST/ADDC01/solaris.example.com
RPC/5b342c13-b6bf-44d1-82fc-7ed6143e42fc._msdcs.solaris.example.com
WSMAN/EX01
exchangeAB/EX01
HOST/EX01/SOLARIS
RPC/787b4fc3-10a2-4682-8b77-f415534c4de2._msdcs.solaris.example.com
RestrictedKrbHost/EX01
HOST/EX01
Bestehender SPN wurde gefunden.
C:\>
Nun stellt sich die Frage:
Welche dieser Einträge müssen auf welchem Konto registriert sein - welche sollte man löschen?
Viele Grüße & herzlichen Dank,
Stefan