Kerberos emette dopo il nuovo server di stesso nome unito al dominio

Ambiente: Windows Server 2012, 2 controller di dominio, 1 dominio.

  • Un server chiamato Sharepoint1 è stato associato al dominio (in esecuzione Sharepoint 2013 utilizzando NTLM).
  • L'installazione nuova per Sharepoint1 (OS e Sharepoint) viene eseguita e configurata per Kerberos e unita al dominio utilizzando lo stesso nome. Due SPN aggiunti per HTTP / sharepoint1 e HTTP / sharepoint1.somedomain.net per account SPFarm.
  • Active Directory mostra un singolo account computer non duplicato con una data di creazione del primo server e una data di modifica della seconda creazione del server.
  • Un server separato anche nel dominio ha il server aggiunto a Tutti i server in Server Manager. Questo server mostra un errore locale negli events esattamente come questo da Technet (Kerberos error 4 – KRB_AP_ERR_MODIFIED).

Domanda:

  • Come automatizzare gli attributi RFC2307 in Active Directory?
  • Evitare gli account condivisi in un ambiente di Active Directory
  • Come abilitare il controllo Kerberos Authentication Service sul server 2008
  • Alternativa di trasferimento file sicuro
  • Autenticazione degli utenti Linux contro AD senza altrettanto aperti
  • Active Directory invia un token di accesso dell'utente in tutta la networking?
  • Qualcuno può aiutarmi a capire se il problema è:

    • L'account di computer è ancora il vecchio account e provoca un disallineamento del biglietto Kerberos (che ha permesso che alcune attività di pulizia in AD avrebbero impedito)
    • (Nella mia limitata comprensione di Kerberos e SPN) che l'account SPFarm utilizzato per SPN è in qualche modo non corrispondente alle chiamate HTTP effettuate dai servizi degli strumenti di gestione dei server remoti in Windows Server 2012
    • Qualcosa di completamente diverso?

    Mi appoggio verso la prima, dal momento che ho provato le stesse SPN su un altro server e non sembrava causare la stessa questione. Se questo è il caso, può essere riparato facilmente e in modo sicuro? C'è un modo adeguato per reimpostare l'account o ancora meglio, eliminare e re-aggiungere l'account? Anche se suona abbastanza semplice con alcuni powershell o cliccando in giro negli utenti AD e computer, non sono sicuro quale impatto potrebbe avere su un server esistente, in particolare un SharePoint in esecuzione. Qual è il modo più sicuro e semplice per procedere?

    Grazie!

    One Solution collect form web for “Kerberos emette dopo il nuovo server di stesso nome unito al dominio”

    L'account di computer è ancora il vecchio account e provoca un disallineamento del biglietto Kerberos

    L'utente che ha aderito al secondo server ha diritti sufficienti per modificare l'account di macchina. Mentre l'account di macchina è ancora il "vecchio account" è stato modificato e non functionrà più con il primo server.

    Qual è il modo più sicuro e semplice per procedere?

    Sto supponendo che questo server non sia in produzione; Ho risolto questo prima solo facendo un disjoin / rejoin del primo server o qualunque cosa vorresti mantenere. Puoi anche provare a ripristinare un account, ma ho avuto più successo in pieno rientro. Non riesco a ricordare che se l'host disgiunto farà SharePoint infelice (è passato un po 'perché ho gestito un host SP), ma va bene. Il secondo server con questo nome dovrà essere disgiunto e rientrato (con un nuovo nome).

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.