locked
Duplicate SPN - double objet SPN RRS feed

  • Question

  • Bonjour à tous,

    merci de votre lecture déjà.

    Nous avons restauré un serveur exchange il y a quelques mois sans soucis majeur.
    Nous avons basculé la production sur un autre DAG, et seule des vieilles BAL restent sur ce serveur, nous aimerions finir proprement la migration parce que nous aimons le travail bien fait mais aussi par curiosité et tenacité.

    depuis 3 semaines nous nettoyons pas mal d'erreurs qui trainent de lingering-objects et autres, et nous arrivons au cœur du soucis.

    Au niveau domaine, pas de remontées, par contre au niveau foret l'objet ordinateur de l'ancien serveur existe encore, ce qui crée un doublon au niveau SPN, et qui nous remonte les alertes et nous cause quelques soucis aléatoire de connexion.

    nous voulons simplement supprimer l'objet qui fait doublon, au départ il était nommé de la sorte avec la commande setspn :

    CN=EXCHANGE,CN=Computers,DC=mail,DC=domaine,DC=fr

    le bon étant l'objet déplacé dans (le seul que l'on peut voir):

    CN=EXCHANGE,CN=SERVEURS,DC=mail,DC=domaine,DC=fr

    l'objet qui devrait être dans l'OU ordinateur n'est pas visible sous ADSIedit.

    et il n'existe plus aucun lingering objets pour les contrôleurs de domaine et de sous domaine.nous avons déplacé l'objet EXCHANGE à nouveau dans l'OU ordinateur en test, et cela nous à remonté l'id du serveur quand on relance la commande, malgré cela on n'arrive pas à supprimer l'objet car dsrm ne le voit pas et setspn -d on ne peut pas spécifier quel doublon supprimer, il supprimerait celui qui est actif.

    la commande complète avec l'id du serveur doublon :

    [PS] C:\Windows\system32>setspn -F -X

    Vérification de la forêt DC=domaine,DC=fr

    L'opération sera effectuée à l'échelle de la forêt ; elle peut prendre un certain temps.

    Traitement de l'entrée 1

    HOST/Exchange.mail.domaine.fr est inscrit sur ces comptes :

            CN=EXCHANGE,OU=SERVEURS,DC=mail,DC=domaine,DC=fr

            CN=EXCHANGE\0ACNF:fb9745b1-waka-4d6a-8d42-8b3341305177,CN=Computers,DC=mail,DC=domaine,DC=fr

     

    HOST/EXCHANGE est inscrit sur ces comptes :

            CN=EXCHANGE,OU=SERVEURS,DC=mail,DC=domaine,DC=fr

            CN=EXCHANGE\0ACNF:fb9745b1-waka-4d6a-8d42-8b3341305177,CN=Computers,DC=mail,DC=domaine,DC=fr

     

    RestrictedKrbHost/EXCHANGE est inscrit sur ces comptes :

            CN=EXCHANGE,OU=SERVEURS,DC=mail,DC=domaine,DC=fr

            CN=EXCHANGE\0ACNF:fb9745b1-waka-4d6a-8d42-8b3341305177,CN=Computers,DC=mail,DC=domaine,DC=fr

     

    RestrictedKrbHost/Exchange.mail.domaine.fr est inscrit sur ces comptes :

            CN=EXCHANGE,OU=SERVEURS,DC=mail,DC=domaine,DC=fr

            CN=EXCHANGE\0ACNF:fb9745b1-waka-4d6a-8d42-8b3341305177,CN=Computers,DC=mail,DC=domaine,DC=fr

     

    TERMSRV/EXCHANGE est inscrit sur ces comptes :

            CN=EXCHANGE\0ACNF:fb9745b1-waka-4d6a-8d42-8b3341305177,CN=Computers,DC=mail,DC=domaine,DC=fr

            CN=EXCHANGE,OU=SERVEURS,DC=mail,DC=domaine,DC=fr

     

    TERMSRV/Exchange.mail.domaine.fr est inscrit sur ces comptes :

            CN=EXCHANGE\0ACNF:fb9745b1-waka-4d6a-8d42-8b3341305177,CN=Computers,DC=mail,DC=domaine,DC=fr

            CN=EXCHANGE,OU=SERVEURS,DC=mail,DC=domaine,DC=fr

     

    SmtpSvc/EXCHANGE est inscrit sur ces comptes :

            CN=EXCHANGE\0ACNF:fb9745b1-waka-4d6a-8d42-8b3341305177,CN=Computers,DC=mail,DC=domaine,DC=fr

            CN=EXCHANGE,OU=SERVEURS,DC=mail,DC=domaine,DC=fr

     

    SmtpSvc/Exchange.mail.domaine.fr est inscrit sur ces comptes :

            CN=EXCHANGE\0ACNF:fb9745b1-waka-4d6a-8d42-8b3341305177,CN=Computers,DC=mail,DC=domaine,DC=fr

            CN=EXCHANGE,OU=SERVEURS,DC=mail,DC=domaine,DC=fr

     

    WSMAN/Exchange.mail.domaine.fr est inscrit sur ces comptes :

            CN=EXCHANGE\0ACNF:fb9745b1-waka-4d6a-8d42-8b3341305177,CN=Computers,DC=mail,DC=domaine,DC=fr

            CN=EXCHANGE,OU=SERVEURS,DC=mail,DC=domaine,DC=fr

     

    WSMAN/Exchange est inscrit sur ces comptes :

            CN=EXCHANGE\0ACNF:fb9745b1-waka-4d6a-8d42-8b3341305177,CN=Computers,DC=mail,DC=domaine,DC=fr

            CN=EXCHANGE,OU=SERVEURS,DC=mail,DC=domaine,DC=fr

     

    exchangeMDB/Exchange.mail.domaine.fr est inscrit sur ces comptes :

            CN=EXCHANGE\0ACNF:fb9745b1-waka-4d6a-8d42-8b3341305177,CN=Computers,DC=mail,DC=domaine,DC=fr

            CN=EXCHANGE,OU=SERVEURS,DC=mail,DC=domaine,DC=fr

     

    exchangeMDB/EXCHANGE est inscrit sur ces comptes :

            CN=EXCHANGE\0ACNF:fb9745b1-waka-4d6a-8d42-8b3341305177,CN=Computers,DC=mail,DC=domaine,DC=fr

            CN=EXCHANGE,OU=SERVEURS,DC=mail,DC=domaine,DC=fr

     

    kadmin/changepw est inscrit sur ces comptes :

            CN=krbtgt,CN=Users,DC=mail,DC=domaine,DC=fr

            CN=krbtgt,CN=Users,DC=domaine,DC=fr

     

    13 groupes de SPN en double détectés.


    si vous aviez déjà planché sur le soucis pour une piste, on est preneur, merci.

    jeudi 28 avril 2016 07:53

Réponses

Toutes les réponses

  • Même problème, je ne retrouve pas l'objet dans Adsedit.

    comment faire ?

    jeudi 28 avril 2016 08:59
  • Vous pouvez essayer avec LDP :

    https://technet.microsoft.com/en-us/library/cc772897(v=ws.10).aspx


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr


    • Proposé comme réponse Bruce JDC jeudi 28 avril 2016 12:48
    • Modifié Bruce JDC jeudi 28 avril 2016 12:48
    • Marqué comme réponse Emile Supiot lundi 2 mai 2016 08:28
    jeudi 28 avril 2016 12:48
  • Bonjour,

    Le soucis est qu'avec LDP je n'obtiens que le objet opérationnel et non l'objet supprimé :

    result de la recherche :

    ***Searching...
    ldap_search_s(ld, "DC=mail,DC=domaine,DC=fr", 2, "serviceprincipalname=HOST/EXCHANGE", attrList,  0, &msg)
    Getting 1 entries:
    Dn: CN=EXCHANGE,OU=SERVEURS,DC=mail,DC=one-id,DC=fr
    canonicalName: mail.domaine.fr/SERVEURS/EXCHANGE;
    name: EXCHANGE;
    objectClass (5): top; person; organizationalPerson; user; computer;

    merci


    Numa


    jeudi 28 avril 2016 15:08