none
дублирование SPN при установке ADFS. RRS feed

  • Вопрос

  • Доброго времени суток уважаемые коллеги. Есть домен, в домене пытаюсь инсталировать службу ADFS на WS 2012 R2.

    Что делаю: ввел сервер в домен, создал УЗ "adfs-svc" от которой будет работать служба ADFS,  запросил  SSL сертификат для сервера, начинаю устанавливать ADFS,  после указания сертификата при установке необходимо прописать SPN для службы от которой будет запускаться ADFS ,а именно setspn -F -S HOST/adfs.main.local adfs-svc - но команда прерывает выполнение с уведомлением, что есть дубликаты SPN.Но этого не могло быть, так как никто не мог назначить SPN , так как имя вообще новое.Соответственно последняя часть установки ADFS ругается-дескать надо прописать вручную SPN.Эта штука критичная, ошибка могут возникать при windows-аутентификации. Было замечено, что при вводе в домен сервера как рядового, автоматом назначаются SPN имена+ те которые я не прописывал -в допонительных атрибутах видно.Только в ручную их и удалить можно.

    Вопрос: почему так происходит, может есть где гллубже почитать про это ? В другом домене такого замечено не было..Да к стати, может как-то можно продиагностировать само подключение и обращение к службе через допустим NetMon ?

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 10 ноября 2015 г. 19:09
    10 ноября 2015 г. 18:39

Ответы

  • Вобчем создал CNAME на имя исходного хоста , далее выписал сертификат SSL на созданный CNAME , создал сервисную УЗ и поднял ADFS и не пришлось создавать SPN вручную.Правда ругнулся на то, что не может записать в Firewall правило (да и не надо -так как это не ферма и не содружество с WAP пока что).

    Проверил:

    1.https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

    2. https://fs.contoso.com/adfs/ls/idpinitiatedsignon.htm.

    PS > setspn -L adfs-svc
    Registered ServicePrincipalNames for CN=adfs-svc,OU=Service Users, DC=domain,DC=local:
            host/fs.domain.com

    Пока работает в тестовой зоне.Самое интересное, что в продакшиен все работало хорошо, но утром пришли и опять у пользователей началась проблема с авторизацией на SharePoint через ADFS.

    Тему пока не закрываю...пару дней по тестирую до понедельника.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    11 ноября 2015 г. 9:14

Все ответы

  • SPN HOST/adfs.main.local автоматически добавляется компьютером к его учётной записи, если компьютер входит в домен. Для этого учётная запись имеет расширенное разрешение Validated-SPN ("Validated write to service principle name")

    Т.к. для ADFS 2.0 необходим именно service class HOST, то полагаю, что для ADFS нужно использовать имя, отличающееся от имён имеющихся в AD компьютеров.


    Слава России!

    10 ноября 2015 г. 19:16
  • SPN HOST/adfs.main.local автоматически добавляется компьютером к его учётной записи, если компьютер входит в домен. Для этого учётная запись имеет расширенное разрешение Validated-SPN ("Validated write to service principle name")

    Т.к. для ADFS 2.0 необходим именно service class HOST, то полагаю, что для ADFS нужно использовать имя, отличающееся от имён имеющихся в AD компьютеров.


    Слава России!

    А что так происходит всегда- Validated write to service principle name  - может есть где читануть ?

    Вы имеете в виду,что в ADFS 3.0 уже такое не прокатит как для 2.0 ?

    Я так понял можно попробовать дать ADFS CNAME ? К стати для боевого ADFS я так и сделал, потому как сервер был с другим именем и пришлось как бы логичнее его назвать через алиас- вот тогда то с назначением SPN не было заморочек..


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!



    • Изменено rеstless 10 ноября 2015 г. 19:31
    10 ноября 2015 г. 19:30
  • Вобчем создал CNAME на имя исходного хоста , далее выписал сертификат SSL на созданный CNAME , создал сервисную УЗ и поднял ADFS и не пришлось создавать SPN вручную.Правда ругнулся на то, что не может записать в Firewall правило (да и не надо -так как это не ферма и не содружество с WAP пока что).

    Проверил:

    1.https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

    2. https://fs.contoso.com/adfs/ls/idpinitiatedsignon.htm.

    PS > setspn -L adfs-svc
    Registered ServicePrincipalNames for CN=adfs-svc,OU=Service Users, DC=domain,DC=local:
            host/fs.domain.com

    Пока работает в тестовой зоне.Самое интересное, что в продакшиен все работало хорошо, но утром пришли и опять у пользователей началась проблема с авторизацией на SharePoint через ADFS.

    Тему пока не закрываю...пару дней по тестирую до понедельника.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    11 ноября 2015 г. 9:14