none
Не заполняется SPN при вводе сервера в домен RRS feed

  • Вопрос

  • Доброго дня.

    Лес доменов 2008, контроллеры 2008/2016. В изолированной среде находится сервер (2016), который необходимо ввести в домен. 

    На сетевом оборудовании были открыты порты по направлению Сервер - Домен контроллеры:

    TCP: 53, 88, 135, 139, 389, 445, 464, 3268, 3269, 9389, 49152-65535

    UDP: 53, 88, 123, 135, 137, 138, 389, 445, 464

    Сервер ввелся в домен, но в учетной записи компьютера не заполнился атрибут ServicePrincipalName, как результат - залогиниться под доменными учетными записями не получается - ошибка, что база данных не содержит данного компьютера и т.д.

    При заполнении в SPN:

    HOST/SERVER

    HOST/SERVERNAME

    Авторизация успешна.

    Собственно, вопрос  - почему SPN не заполняется? Не хватает каких-то ещё портов?

    Допинфа - ИБ не открывает порты на антивирусном ПО UDP 137/138. На других серверах, которые не находятся в DMZ, эти порты закрыты, но с заполнением SPN и авторизацией подобных проблем нет.

    Гуглил интернеты, голову забил, без вас, боюсь не разобраться, может ответ на поверхности, но я его не вижу?


    • Изменено atulyakov 12 марта 2021 г. 7:59
    12 марта 2021 г. 7:42

Ответы

Все ответы

  • Бросается в глаза отсутствие порта 636: LDAP over SSL

    Слава России!

    • Помечено в качестве ответа atulyakov 15 марта 2021 г. 9:38
    12 марта 2021 г. 12:57
  • Бросается в глаза отсутствие порта 636: LDAP over SSL

    Слава России!

    Спасибо за предложенный вариант, попробую открыть TCP 636
    15 марта 2021 г. 6:19
  • Бросается в глаза отсутствие порта 636: LDAP over SSL

    Слава России!

    Проверить "почти" получилось, на хост ждал открытия 389 порта. Добавили ещё 636. Итого, получился следующий пул портов:

    TCP: 53, 88, 135, 139, 389, 445, 464, 636, 3268, 3269, 9389, 49152-65535

    UDP: 53, 88, 123, 135, 137, 138, 389, 445, 464

    При вводе в домен SPN прописался.

    Однако по другому хосту, SPN которого прописывал вручную, порт TCP 636 был открыт...

    В общем, пока не ясно, является ли вышеуказанный перечень портов достаточным для корректного ввода в домен сервера... Смелюсь предположить, что да.

    Спасибо за помощь!

    15 марта 2021 г. 9:38