Remove From My Forums

Kerberos Authentifizierung an print server mit CName

Allgemeine Diskussion
0

Anmelden
Hallo,

ich hoffe, mir kann jemand bei meinem Problem weiterhelfen...

Ausgangszenario:

Ich habe einen printserver mit dem hostnamen prtsv001 in einer Filiale.
Die connections auf den clients sehen demgemäss so aus printerXY on prtsv001.

Nun fällt der server aus und für den failover habe ich die entsprechende queue auch auf einem print server prtsv002 in einem entfernten RZ eingerichtet.
Die registry-Einträge für die Verwendung des CNames auf dem prtsv002 sind gesetzt !

Der host A Eintrag prtsv001 im DNS wird nun gelöscht und stattdessen ein CName Eintrag erstellt, der folgendermaßen aussieht:
prtsv001 CName prtsv002.MyDomain.net
Dadurch soll es ermöglicht werden, dass die clients aus der Filiale weiterhin in ihre queues drucken können aber die Jobs jetzt über den print server im RZ verarbeitet werden - natürlich mit einer schlechten performance aber immerhin.

Das funktioniert aus Unix-Systemen heraus ohne Probleme aber die Windows clients erhalten einen "Access denied" wenn sie auf ihre Druckerverbindung zugreifen.
Im event log sehe ich einen Fehler:

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/prtsv002.MyDomain.net.
The target name used was cifs/prtsv001.MyDomain.net. This indicates that the password used to encrypt
the kerberos service ticket is different than that on the target server.
Commonly, this is due to identically named machine accounts in the target realm MYDOMAIN.NET),
and the client realm. Please contact your system administrator.

Kann ich das irgendwie beheben, z.B. durch Löschen des spn für den prtsv001
setspn -d host/prtsv001 prtsv001
setspn -d host/prtsv001.MyDomain.net prtsv001

und setzen des spn für den prtsv002
setspn -a host/prtsv001 prtsv002
setspn -a host/prtsv001.MyDomain.net prtsv002 ?

Und muss ich an der Kerberos policy "herumschrauben" und die max. lifetime reduzieren für service tickets ?

Ich weiss, dass dieses Failover Konzept keine Standardlösung ist und sicherlich auch nicht best practise aber der Geldbeutel des Kunden diktiert die Regeln.

Vielen Dank schon im Voraus für Tipps !
Jogeli

Jogeli
- Typ geändert Raul TalmaciuMicrosoft contingent staff Dienstag, 10. Juli 2012 13:07 Warten auf Feedback
Mittwoch, 4. Juli 2012 09:27

Antworten

|

Zitieren

Alle Antworten

1

Anmelden

Moin,

erste Kerberos Regel: Der SPN muss eindeutig sein (keine doppelten SPNs im AD)

zweite Regel: Ohne SPN kein Kerberos

Bei Failoversystemen ist das immer ein Problem. Mit Druckerwarteschlangen habe ich das noch nicht versucht. Aber du könntest mal folgendes ausprobieren:

Erstelle ein Dienstkonto und trage es für die betroffenen Dienste ein. Setze dann mit setspn einen neuen SPN (z.b. prtsv) auf das Benutzerkonto. Den Namen kannst du dann als alias auf den prtv001 setzen und bei bedarf auf den zweiten drehen ....

Den SPN der Rechner würde ich nicht löschen ... dadurch können neue Probleme entstehen.

Viele Grüße Carsten

Freitag, 6. Juli 2012 06:33

Antworten

|

Zitieren
0

Anmelden

Hallo,

bist Du inzwischen weitergekommen?

Gruss,
Raul
Raul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Montag, 9. Juli 2012 12:26

Antworten

|

Zitieren
0

Anmelden

Hallo Carsten,
danke erst Mal für den Tipp aber ehrlich gesagt verstehe ich nicht ganz, wie ich mit einem Dienstkonto weiterkommen soll.

Es gibt ja keinen print service als srv record im AD, dann wäre das ganze ja schön zu handlen.

Oder habe ich Dich falsch verstanden ?
Jogeli

Dienstag, 10. Juli 2012 14:57

Antworten

|

Zitieren