Na tak postawione pytanie, o każdej porze dnia i nocy odpowiedziałbym: oczywiście, że tak! przecież OID obiektu oraz FQDN – dwa jednoznacznie identyiqjące obiekt atrybuty – są różne.
Interfejs tego nie zabrania. Wszystko również wygląda na prawidłowe… a jednak sytuacja taka doprowadza do powstawania błędów logu na kontrolerze domeny:

Event ID: 11
source: KDC
There are multiple accounts with name cifs/COMPUTERNAME of type DS_SERVICE_PRINCIPAL_NAME.

… i faktycznie – po dokładnym sprawdzeniu, okazuje się, że jeśli w domenie i poddomenie są kompy o tej samej nazwie, to mają taki sam cifs… to dość oczywiste – powstaje jednak pytanie jak to możliwe, że sobą kolidują?!
po małym śledztwie ustało mi się ustalić iż:

  • żaden standardowy interfejs nie pokazuje SPNa typu ‘cifs’. jeśli użyje się np. adsiedit to atrybut ‘servicePrincipalName’ na automatycznie rejestrowane wartości HOST/computername oraz HOST/computername.fqdn – ale nie cifs. skąd on zatem?
  • CIFS – czyli Common Internet File System jest tematem ciekawym sam w sobie. Np. niewiele osób wie, iż jest to standard otwarty, opracowany przez kilka firm, nigdy jednak nie zatwierdzony – zresztą poczytajcie sobie w linq do wiki. warto! w skrócie – SMB (Simple Message Block) jest Microsftową implementacją CIFSa. W związq z tym, rekord SPN typu ‘cifs’ musi zostać zarejestrowany, ponieważ inaczej komp nie będzie się w stanie uwierzytelnić. Jest on zahardcodowany z rekordem ‘HOST’ i nie da się go usunąć. Pełna lista SPNów ‘wbudowanych’ w rekord ‘HOST’, z informacją, która usługa z nich korzysta jest tutaj.
  • o samych SNPach niedawno pisałem a propos kerberosa, uściślał też te informacje gibon. Przy okazji tego grzebania znalazłem bardzo fajny wpis nt. SPN, który udowodnił jedno – temat jest trudny, bo nikt nie wpadł na to, żeby go prosto wyjaśnić. A sprawa jest na prawdę trywialna – a zatem lektura obowiązkowa!
  • pozostaje kwestia duplikacji. Wynika ona z faktu, iż atrybut servicePrincipalName jest atrybutem replikowanym przez GC. A zatem podczas logowania idzie zapytanie do GC, tam faktycznie znajduje się zduplikowany SPN dla ‘cifs’… no i babol.

tyle w kwestii tego, co udało się w śledztwie wykryć. Pozostają pytania, na które odpowiedzieć mi się nie udało:

  • gdzie jest art microsoftu, który wprost mówi że ‘można’ lub ‘niemożna’ zakładać takich samych nazw kompów na przestrzeni lasu?
  • no i pytania zależne od odpowiedzi. jeśli oficjalnie ‘można’ to jak pozbyć się takiego błędu. jeśli ‘niemożna’ to czemu interfejs na to pozwala a informacji na ten temat nie ma w qrsach ani nigdzie oficjalnie łatwo do znalezienia?
  • no i ostatnie – ok. mam błąd w logach. no i co z tego? czy na coś to wpływa? kiedy powstanie błąd? jak poważny to błąd i czy można go olać?

***UPDATE
z linq od gibona: http://blog.joeware.net/2008/07/17/1407/ można przeczytać takie zdanie:

So anything else? I think not, this is good… What did we learn?

1. Don’t duplicate machine names in a forest, period.
2. If you have duplicate SPN issues, use AdFind to find all computers with the name in the SPN.
3. Duplicate SPNs means kerberos is already not working right for those machines so cleaning it up isn’t going to break anything worse.

dzięki!
btw. blog joeware zgłasza się jako niebezpieczny…

Spread the love

Comments (2)

  1. Odpowiedz

    Problem wystepuje tylko z krótkimi nazwami hostów, i może dotyczyć nie tylko kerberosa. Standardowo dla hosta stacja są zakładane 2 prefixy:
    HOSTstacja
    HOSTstacja.fqdn
    Prefixy HOST są tłumaczone dla dowolnej innej usługi działającej w kontekscie systemowym ( NETWORK SERVICE lub LOCAL SYSTEM)

    Według mnie problem może się pojawić w momencie kiedy odwołując się do komputera typu stacja w jednym lesie, wpis w winsie przekieruje nas do drugiego komputera. Ale sytuacja kiedy komputery z dwóch lasów są w tej samej podzieci(aby zadziałał LLMNR lub WINS; lub w tej samej podsieci aby zadziałało wyszukiwanie NETBIOS), ze złymi wpisami w dns, jest raczej trudna do uzyskania. A do naprawy wystarczy zwykły wpis w dns i suffix domenowy. Albo używanie fqdn.
    Tak więc według mnie – kolejny problem do nie przejmowania się zbytnio.

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Time limit is exhausted. Please reload CAPTCHA.