%EF%BC%9F.png)
我们正在使用适用于 SQL Server 的 AWS RDS, 一个AWS 托管服务. 我们将 RDS 加入了自我管理的 AD: 我们在日志中找到了 RDS 托管服务数据库实例的 Active Directory 服务主体名称 (SPN),并将其发布并使用它来访问数据库。 然而,几周后 SPN 发生了变化。AWS 重新创建了该实例。 我们需要一个不会改变的 SPN,所以有人认为我们应该尝试添加自己的 SPN,并希望如果重新创建 RDS 实例,它不会改变。我找不到有关静态 SPN 和 RDS 的任何信息。我发现Microsoft 文档使用命令: set...
有以下问题。我有一个带有根域 A 的 Windows 林 A。域 A 中的 Web 服务器具有正确设置的 SPN。用户来自另一个林/域,其中存在双向传递林信任。来自域 B 的用户登录到域 A 中的工作场所。域 B 所属的林可以通过域和信任中的名称后缀路由设置将 SPN 解析为林 A。现在,一切正常。使用 wireshark,我对 Web 服务器和域 B 的域控制器之间的身份验证流量进行了一些分析。我看到端口 tcp/88 kerberos 上的流量,获取所有必需的票证,我看到一些 LDAP 流量 udp/389,以验证通过 ldap 绑定进行的模拟,但随后我...
Forest1-DomainA(位置 F1-A)中的 Power BI Reporting Services。 用户帐户位于 Forest2-DomainA(位置 F2-A)。 F1-A 信任 F2-A。用户登录的 VDI/RDS 位于 F1-A,服务位于 F1-A。URL 为 pbi.example.com,从 VDI/RDS 解析到托管 PBI 服务的 Windows Server 2022 计算机。在 Windows Server 2022 AD 计算机帐户上,我们创建了 SPN http/pbi.example.com。 使用来自 F1-A 域的用户...
当我配置 Kerberos 委派时,我对 IIS 10 中的 Windows 身份验证的理解存在差距。 对于访问 Web 服务器(IIS,启用了 Windows 身份验证)且无需担心委派场景或自定义 SPN 的客户端,我对 Kerberos 身份验证的解释如下: 客户端向 KDC 请求 TGT(和会话密钥)。 收到 TGT 后,客户端使用它向 TGS 请求与 Web 服务器主机名匹配的 SPN 的服务票证。(HTTP/name.company.com)。 客户端基础 64 对服务票据进行编码,并将其作为 WWW 身份验证标头插入到发送到 Web 服务器...
根据微软的说法,我在 Windows 域中的计算机上看到了事件 ID 4。我有一个重复的事件,似乎得到了以下人员的确认: PS C:\Windows\system32> setspn -X Checking domain DC=MYDOMAIN,DC=COM Processing entry 0 {14E52635-0A95-4a5c-BDB1-E0D0C703B6C8}/FPS1 is registered on these accounts: CN=Administrator,CN=Users,DC=MYDOMAIN,DC=COM ...
使用 azuredevOps 的自动化创建新的 b2c 租户时,SPN 不起作用。 唯一的选择是使用端点身份验证用户。'失败'。","details":[{"code":"DeploymentFailed","target":"/subscriptions/xxxx-xxxx-xxxx-xxxx-xxxxxxxx/resourceGroups/$RG/providers/Microsoft.Resources/deployments/$BWCNAME","message":"至少一个资源部署操作失败。请列出部署操作以了解详细信息。请参阅 https://ak...
我正在尝试为我的 SQL 服务器添加 SPN 条目,但是 SQL 服务器在 NT Authority 帐户(如 SYSTEM 或 LOCAL SERVICE)下运行。 当我输入 setspn 代码时,它说找不到用户。这可能吗?尝试运行以下命令: setspn -L MSSQLSvc/SQLSERVER1 "NT AUTHORITY\LOCAL SERVICE" ...
%EF%BC%8C%E5%9B%A0%E4%B8%BA%E6%89%80%E9%9C%80%E7%9A%84%20(SPN)%20f.png)
我最近将 Windows Serevr 2019 DC 添加到我的域中,该域已在两个站点上拥有三个 DC。现有的三个 DC 是 Server 2012 R2,域和林级别是 2008 R2。新 DC 与主 DC 位于不同的站点 当我在主 DC 上运行 dcdiag /v 时,我在输出中看到以下错误 Active Directory Domain Services did not perform an authenticated remote procedure call (RPC) to another directory server because the...
我正在尝试将 Windows 2019 系统设置为 SMB 服务器,以便与使用 Kerberos 向 SMB 服务器进行身份验证的外部非 Windows 系统上的第三方软件配合使用。此 SMB 服务器已加入单独域控制器服务器上的现有 Active Directory 域。尽管该软件成功从 Windows AD Kerberos 服务器获取用户和 SPN 凭据,但 SMB 服务器拒绝这些凭据并出现错误 KRB5KRB_AP_ERR_MODIFIED。 SMB 用户是在 AD 中定义的,并且 AD 中也有 SMB 服务器的计算机帐户。尽管 DC 帐户中的 SPN...
我开发了一个 Web 服务(使用 OWIN 而不是 IIS 托管),其中我的用户必须使用其域凭据进行身份验证。目前它使用 NTLM,一切运行正常,但我想切换到 Kerberos,据我所知,我需要向 AD 添加 SPN 才能使其工作。所以我尝试了以下操作: 在 AD 用户和计算机 GUI 中手动将 HTTP/myserver.myDomain.local 添加到主机 Setspn -S HTTP/myserver.myDomain.local myDomain\ServiceUser(这首先给了我一个重复的 SPN 错误,所以我从步骤 1 中删除了 SPN)...
我不确定我是否理解什么时候&为什么需要 mapUser。 当你生成密钥表和密码您可以将服务主体映射到具有 的用户mapUser。然后,您可以kinit使用该密钥表从另一台计算机访问该服务。 当尝试同样的事情时工具在 Linux 机器上,这是不可能的。您只需生成一个密钥表对于用户和基尼特对于用户来说。 SPN 设置如下: 服务用户:SQLservice 服务政策组 来自 OU SQLusers 的用户:sqluser SPN -S MYSSQLSvc/SQLservice.mynetwork.net SQL用户 我曾遵循过一份指南,其中解释...
要旨:我已经将 Samba 设置为 AD DC。我想仅为计算机帐户导出 SPN 的密钥表没有让计算机运行 samba 本身,或发出net ads join。运行后samba-tool domain exportkeytab我没有得到 SPN 的密钥,我相信这是因为没有机器密码。我该如何解决这个问题? 长版本:我已经将 Samba 设置为功能齐全的 AD 主域控制器。用户身份验证、DNS 等均能正常工作,因此我相当确定服务器本身没有问题。此外,已经有两台计算机加入域,并且它们的 keytab 正常工作,因此问题可能不是出在服务器,而是出在 PEBKAC 身上。...
有些人会手动(自己)使用 SP 从 CLI 运行命令并部署资源。我们需要防止这种情况发生,并且只允许服务使用 SP,而不允许人类使用。有什么办法吗? ...
设置 所有运行 Windows Server 2019 的计算机。 域A 物品 价值 完全合格 域名 DomainA DomainA.local 用户 UserA [email protected] 服务器 FileServer FileServer.DomainA.local 域 B 物品 价值 完全合格 域名 DomainB DomainB.local 用户 UserB [email protected] 服务器 FileServer FileServer.DomainB.loca...
无法使 Kerberos 身份验证从 Linux 运行到 Windows 上的 MS-SQL 服务器。在 AD 中添加了新用户。 New-ADUser -Name "user" -GivenName "user" -SamAccountName "user" -UserPrincipalName "[email protected]" –AccountPassword (ConvertTo-SecureString "password" -AsPlainText -force) -Enabled $true 生成的 keytab 文件。 ktp...