none
2012域内的dhcp,file等服务器是否会在AD注册信息? RRS feed

  • 问题

  • 1、涉及到kerberos spn的疑问,所有加域的服务器角色例如dhcp,dns,文件服务器,打印服务器,是否会在ad数据库内注册服务信息?

    2、是否可以手动注册域内服务信息?

    3、如何查询域内服务信息?

    2020年6月16日 2:51

答案

  • 尊敬的客户,您好!

    感谢您的回复。

    根据这句话“发现eventid为4771的Kerberos 预身份验证失败”,请问Kerberos为什么验证失败的?如果是账号密码输入错误导致Kerberos验证失败,就不会自动转为NTLM验证。

    Kerberos验证失败会自动转为NTLM验证,是指如果这个验证方式不符合Kerberos验证方式的话,就会自动转为NTLM验证方式。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2020年6月28日 7:20
    2020年6月24日 5:40
    版主

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    以下是对您问题的回复:

    1、涉及到kerberos spn的疑问,所有加域的服务器角色例如dhcp,dns,文件服务器,打印服务器,是否会在ad数据库内注册服务信息?

    根据文档:Setspn

    通常不需要修改SPN。 它们是由计算机在加入域时以及在计算机上安装服务时设置的。 但是,在某些情况下,此信息可能会过时。 例如,如果更改了计算机名称,则必须更改已安装服务的SPN以匹配新的计算机名称。 此外,某些服务和应用程序可能需要手动修改服务帐户的SPN信息才能正确进行身份验证。

    2、是否可以手动注册域内服务信息?
    可以的,使用命令或者在某个账户的属性里添加。
    setspn -s <service/name hostname>

    例如:

    命令添加SPN:setspn -s ldap/server1.contoso.com server1


    在计算机账户的属性编辑器里点击添加按钮添加SPN。

    3、如何查询域内服务信息?

    使用命令查看或者如上的账号的属性编辑器里查看。
    setspn -l <accountname>

    例如:setspn -l vchzho356


    如需了解更多有关setspn语法使用,请参考上面的setspn链接。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年6月16日 7:31
    版主
  • 1、如果我将某个服务器的spn注册服务项删除,是否会影响我访问该服务?

    2、如果以上操作影响使用域名&kerberos验证访问,是否对使用ip&ntlm验证访问无影响?

    3、使用域名&kerberos访问服务无法通过后,windows是否会自动切换到ntlm验证?


    2020年6月17日 10:18
  • 尊敬的客户,您好!

    感谢您的回复。

    1、如果我将某个服务器的spn注册服务项删除,是否会影响我访问该服务?
    >>如果我们需要应用这个SPN,肯定影响访问该服务。

    2、如果以上操作影响使用域名&kerberos验证访问,是否对使用ip&ntlm验证访问无影响?
    >>不会对使用ip&ntlm验证访问影响,因为NTLM验证不需要使用到SPN信息。

    3、使用域名&kerberos访问服务无法通过后,windows是否会自动切换到ntlm验证?
    >>使用域名&kerberos访问服务无法通过后,windows会自动切换到ntlm验证。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年6月19日 7:52
    版主
  • 感谢您的耐心回答

    针对3th q, 是否有相关文档说明?

    、使用域名&kerberos访问服务无法通过后,windows是否会自动切换到ntlm验证?
    >>使用域名&kerberos访问服务无法通过后,windows会自动切换到ntlm验证。

    2020年6月19日 9:39
  • 尊敬的客户,您好!

    感谢您的回复。

    从下面这篇文章我们可以看到:对于Windows身份验证,WCF通常使用协商安全支持提供程序(SSP),后者在客户端和服务之间执行Kerberos相互身份验证。 如果Kerberos协议不可用,则默认情况下WCF退回到NT LAN Manager(NTLM)。

    Debug Windows authentication errors
    https://docs.microsoft.com/en-us/dotnet/framework/wcf/feature-details/debugging-windows-authentication-errors

    所以只要NTLM验证方式没有被禁用的情况下,Kerberos验证失败就会转到NTLM验证。默认NTLM验证是开启的状态,通过如下的组策略可以检查NTLM的状态。

    Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Network security: Restrict NTLM: NTLM authentication in this domain

    如果选择“禁用”或不配置此策略设置,则域控制器将允许域内的所有NTLM传递身份验证请求(如下就是MNTLM默认开启的状态)。


    有关NTLM的状态,我们可以参考如下的链接。

    Network security: Restrict NTLM: NTLM authentication in this domain
    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-ntlm-authentication-in-this-domain



    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年6月23日 7:28
    版主
  • 十分感谢您的耐心解答

    所以只要NTLM验证方式没有被禁用的情况下,Kerberos验证失败就会转到NTLM验证。

    我查阅了域控日志记录,发现eventid为4771的Kerberos 预身份验证失败,之后并没有相同账户和相关服务的ntlm验证失败日志,这是为何?

    这是我排查了大量4771日志后发现的结果。

    2020年6月23日 9:27
  • 尊敬的客户,您好!

    感谢您的回复。

    根据这句话“发现eventid为4771的Kerberos 预身份验证失败”,请问Kerberos为什么验证失败的?如果是账号密码输入错误导致Kerberos验证失败,就不会自动转为NTLM验证。

    Kerberos验证失败会自动转为NTLM验证,是指如果这个验证方式不符合Kerberos验证方式的话,就会自动转为NTLM验证方式。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2020年6月28日 7:20
    2020年6月24日 5:40
    版主
  • 尊敬的客户,您好!

    请问这个问题是否解决了呢?或者还需要我为您提供什么帮助呢?

    如果您还需要进一步的帮助,欢迎您随时咨询。

    感谢您的理解和支持。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年6月26日 9:55
    版主