1
SPN Ticket auf allen Servern
Hallo,
ich arbeite in einer neuen, mir unbekannten, Umgebung und habe eine Reihe von Überprüfungen laufen und dabei folgendes Ergebnis, welches ich Hinterfrage.
In einer W2k3 Domäne gibt es einen Benutzer mit den Namen TADMIN. Das Konto wurde definitiv händisch angelegt und sollte wohl die Aufgabe haben, dass geplante Tasks und Dienste unter diesen Konto laufen. Um nun genau zu wissen, wozu das Konto da ist und wo es überall eine Aufgabe erfüllt, habe ich umfangreiche Analysescripte laufen lassen und bei der Analyse der SPNs folgenden Eintrag auf allen Servern gefunden.
Registered ServicePrincipalNames for CN=TADMIN,CN=Users,DC=FirmaXY,DC=de:
MSSQLSvc/SRV01.FirmaXY.de:1433
MSSQLSvc/SRV09.FirmaXY.de:1433
1. Der SPN auf den SRV01 macht Sinn, weil auf den Server Dienste (SQL) und geplannte Tasks unter den Konto laufen.
2. Der SPN auf SRV09 macht keinen Sinn, weil der Server nicht mehr existiert.
3. Ich finde dieses Ergebnis auf ALLEN Servern, auch auf denen, wo der TADMIN weder Dienste noch Tasks laufen hat.
Nach meinen Verständnis über SPN, sollte es dieses Ticket doch nur geben, um die Authentifizierzung mit den Kerberos des Domaincontrollers zu machen, FÜR den Dienst. Also warum finde ich die SPN für das Konto dann auf allen Servern? Kann es sein, dass es manuell erzeugt wurde? Eventell sogar über ADSIEdit auf den Domaincontroller und somit per Domainmitgliedschaft auf allen Servern ungewollt gestreut wurde?
Ich bin für jeden Hinweis dankbar,
Mexx
ich arbeite in einer neuen, mir unbekannten, Umgebung und habe eine Reihe von Überprüfungen laufen und dabei folgendes Ergebnis, welches ich Hinterfrage.
In einer W2k3 Domäne gibt es einen Benutzer mit den Namen TADMIN. Das Konto wurde definitiv händisch angelegt und sollte wohl die Aufgabe haben, dass geplante Tasks und Dienste unter diesen Konto laufen. Um nun genau zu wissen, wozu das Konto da ist und wo es überall eine Aufgabe erfüllt, habe ich umfangreiche Analysescripte laufen lassen und bei der Analyse der SPNs folgenden Eintrag auf allen Servern gefunden.
Registered ServicePrincipalNames for CN=TADMIN,CN=Users,DC=FirmaXY,DC=de:
MSSQLSvc/SRV01.FirmaXY.de:1433
MSSQLSvc/SRV09.FirmaXY.de:1433
1. Der SPN auf den SRV01 macht Sinn, weil auf den Server Dienste (SQL) und geplannte Tasks unter den Konto laufen.
2. Der SPN auf SRV09 macht keinen Sinn, weil der Server nicht mehr existiert.
3. Ich finde dieses Ergebnis auf ALLEN Servern, auch auf denen, wo der TADMIN weder Dienste noch Tasks laufen hat.
Nach meinen Verständnis über SPN, sollte es dieses Ticket doch nur geben, um die Authentifizierzung mit den Kerberos des Domaincontrollers zu machen, FÜR den Dienst. Also warum finde ich die SPN für das Konto dann auf allen Servern? Kann es sein, dass es manuell erzeugt wurde? Eventell sogar über ADSIEdit auf den Domaincontroller und somit per Domainmitgliedschaft auf allen Servern ungewollt gestreut wurde?
Ich bin für jeden Hinweis dankbar,
Mexx
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 177249
Url: https://administrator.de/forum/spn-ticket-auf-allen-servern-177249.html
Ausgedruckt am: 18.04.2025 um 19:04 Uhr
1 Kommentar
Ich habe die Lösung gefunden.
"Ein zweites wesentliches Problem besteht darin, dass zusätzliche SPNs manuell (!) erzeugt werden müssen, wenn Dienste nicht unter einem der eingebauten Accounts (Netzwerkdienst, Lokales System) betrieben werden. Wie man in Abbildung 4.42 klar und deutlich sehen kann, ist ein SPN stets das Attribut eines Kontos – standardmäßig des Computerkontos. Läuft der Dienst unter einem der eingebauten Konten, ist es auch vollkommen in Ordnung, dass der SPN ausschließlich beim Computerkonto definiert ist. Wenn der Dienst (bzw. der Anwendungspool im IIS) unter einem Domänenbenutzerkonto betrieben wird, muss ein zusätzlicher SPN, der im Attribut dieses Kontos eingetragen ist, erstellt werden – beispielsweise mit setspn.exe."
Quelle:
http://openbook.galileocomputing.de/windows_server_2008/windows_server_ ...
"Ein zweites wesentliches Problem besteht darin, dass zusätzliche SPNs manuell (!) erzeugt werden müssen, wenn Dienste nicht unter einem der eingebauten Accounts (Netzwerkdienst, Lokales System) betrieben werden. Wie man in Abbildung 4.42 klar und deutlich sehen kann, ist ein SPN stets das Attribut eines Kontos – standardmäßig des Computerkontos. Läuft der Dienst unter einem der eingebauten Konten, ist es auch vollkommen in Ordnung, dass der SPN ausschließlich beim Computerkonto definiert ist. Wenn der Dienst (bzw. der Anwendungspool im IIS) unter einem Domänenbenutzerkonto betrieben wird, muss ein zusätzlicher SPN, der im Attribut dieses Kontos eingetragen ist, erstellt werden – beispielsweise mit setspn.exe."
Quelle:
http://openbook.galileocomputing.de/windows_server_2008/windows_server_ ...
