2012域内的dhcp,file等服务器是否会在AD注册信息?
问题
全部回复
-
尊敬的客户,您好!
感谢您在我们的TechNet论坛发帖。
以下是对您问题的回复:
1、涉及到kerberos spn的疑问,所有加域的服务器角色例如dhcp,dns,文件服务器,打印服务器,是否会在ad数据库内注册服务信息?
根据文档:Setspn
通常不需要修改SPN。 它们是由计算机在加入域时以及在计算机上安装服务时设置的。 但是,在某些情况下,此信息可能会过时。 例如,如果更改了计算机名称,则必须更改已安装服务的SPN以匹配新的计算机名称。 此外,某些服务和应用程序可能需要手动修改服务帐户的SPN信息才能正确进行身份验证。
2、是否可以手动注册域内服务信息?
可以的,使用命令或者在某个账户的属性里添加。
setspn -s <service/name hostname>
例如:
命令添加SPN:setspn -s ldap/server1.contoso.com server1
在计算机账户的属性编辑器里点击添加按钮添加SPN。
3、如何查询域内服务信息?
使用命令查看或者如上的账号的属性编辑器里查看。
setspn -l <accountname>
例如:setspn -l vchzho356
如需了解更多有关setspn语法使用,请参考上面的setspn链接。
此致,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.- 已编辑 Daisy ZhouMicrosoft contingent staff, Moderator 2020年6月16日 7:34
- 已标记为答案 nelson2004 2020年6月17日 10:04
- 取消答案标记 nelson2004 2020年6月17日 10:12
-
尊敬的客户,您好!
感谢您的回复。
从下面这篇文章我们可以看到:对于Windows身份验证,WCF通常使用协商安全支持提供程序(SSP),后者在客户端和服务之间执行Kerberos相互身份验证。 如果Kerberos协议不可用,则默认情况下WCF退回到NT LAN Manager(NTLM)。
Debug Windows authentication errors
https://docs.microsoft.com/en-us/dotnet/framework/wcf/feature-details/debugging-windows-authentication-errors
所以只要NTLM验证方式没有被禁用的情况下,Kerberos验证失败就会转到NTLM验证。默认NTLM验证是开启的状态,通过如下的组策略可以检查NTLM的状态。Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Network security: Restrict NTLM: NTLM authentication in this domain
Network security: Restrict NTLM: NTLM authentication in this domain
如果选择“禁用”或不配置此策略设置,则域控制器将允许域内的所有NTLM传递身份验证请求(如下就是MNTLM默认开启的状态)。
有关NTLM的状态,我们可以参考如下的链接。
https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-ntlm-authentication-in-this-domain
此致,
Daisy ZhouPlease remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
