环境:Windows Server 2012,2 个域控制器,1 个域。
- 名为 Sharepoint1 的服务器已加入域(使用 NTLM 运行 Sharepoint 2013)。
- 执行 Sharepoint1(OS 和 Sharepoint)的全新安装,并为 Kerberos 进行设置,并使用相同名称加入域。为帐户 SPFarm 添加了 HTTP/sharepoint1 和 HTTP/sharepoint1.somedomain.net 的两个 SPN。
- Active Directory 显示单个、非重复的计算机帐户,其中包含第一个服务器的创建日期和第二个服务器创建的修改日期。
- 域中还有一台单独的服务器,该服务器已添加到服务器管理器中的所有服务器中。此服务器在事件中显示本地错误,如下所示来自 Technet(Kerberos 错误 4 - KRB_AP_ERR_MODIFIED)。
问题:
有人能帮助我了解问题是否是:
- 计算机帐户仍然是旧帐户,并导致 Kerberos 票证不匹配(AD 中的某些管理功能可能会阻止这种情况发生)
- (以我对 Kerberos 和 SPN 的有限理解)用于 SPN 的 SPFarm 帐户与 Windows Server 2012 中的远程服务器管理工具服务发出的 HTTP 调用存在某种不匹配的情况
- 完全不同的东西?
我倾向于第一种,因为我在另一台服务器上测试了相同的 SPN,但似乎没有导致相同的问题。如果是这种情况,可以轻松安全地修复吗?是否有适当的方法来重置帐户,或者更好的方法是删除并重新添加帐户?虽然听起来很简单,只需使用一些 powershell 或在 AD 用户和计算机中单击即可,但我不确定这会对现有服务器(尤其是运行 SharePoint 的服务器)产生什么影响。最安全、最简单的方法是什么?
谢谢!
答案1
计算机帐户仍然是旧帐户,导致 Kerberos 票证不匹配
加入第二台服务器的用户有足够的权限来修改机器帐户。虽然机器帐户仍然是“旧帐户”,但它已被更改,并且不再适用于第一台服务器。
最安全和最简单的方法是什么?
我假设这台服务器没有投入生产;我之前已经通过断开/重新连接第一台服务器或任何你想保留的服务器来解决这个问题。你也可以尝试重置帐户,但我更成功的方法是完全重新加入。我不记得断开主机是否会让 SharePoint 不高兴(我已经有一段时间没有管理 SP 主机了),但应该没问题。第二台同名的服务器也需要断开并重新加入(使用新名称)。