Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

ID d’événement 11 (KDC) : Duplicate SPN Entries on Exchange 2007 SCC RU9

Posted by Teruin laurent sur janvier 6, 2010


Sur les serveurs contrôleur de domaine l’erreur 11 est remontée pour certains services Exchange 2007.

L’article suivant décrit la méthode utilisée pour supprimer l’entrée dupliquée.

Les services incriminés sont :

  • (serviceprincipalname=exchangeRFR/EXCCLUS.unifiedit.priv)
  • (serviceprincipalname=exchangeMDB/EXCCLUS.unifiedit.priv)

Car ils référencent tout les deux le nom du CMS Exchange ainsi que le nom host du serveur Actif.

Extrait LDP :

***Searching…

ldap_search_s(ld, « DC=unifiedit,DC=priv », 2, « (serviceprincipalname=exchangeMDB/EXCCLUS.unifiedit.priv) », attrList, 0, &msg)

Result <0>: (null)

Matched DNs:

Getting 2 entries:

>> Dn: CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

    5> objectClass: top; person; organizationalPerson; user; computer;

    1> cn: NODE1;

    1> description: Exchange Mailbox Server 1st Cluster Node;

    1> distinguishedName: CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;

    1> name: NODE1;

    1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/NODE1;

>> Dn: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

    5> objectClass: top; person; organizationalPerson; user; computer;

    1> cn: EXCCLUS;

    1> description: Exchange Server cluster virtual network name account;

    1> distinguishedName: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;

    1> name: EXCCLUS;

    1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/EXCCLUS;

 

 

Dn: CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

    5> objectClass: top; person; organizationalPerson; user; computer;

    1> cn: NODE1;

    1> description: Exchange Mailbox Server 1st Cluster Node;

    1> distinguishedName: CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;

    1> name: NODE1;

    1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/NODE1;

>> Dn: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

    5> objectClass: top; person; organizationalPerson; user; computer;

    1> cn: EXCCLUS;

    1> description: Exchange Server cluster virtual network name account;

    1> distinguishedName: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;

    1> name: EXCCLUS;

1>    canonicalName: unifiedit.priv/Servers/Marseille/Applications/EXCCLUS;

 

MESSAGE D’ERREUR

Event Type:    Error
Event Source:    KDC
Event Category:    None
Event ID:    11
Date:        06/01/2010
Time:        08:48:37
User:        N/A
Computer:    COMPUTERNAME

Description: There are multiple accounts with name exchangeMDB/COMPUTERNAME.unifiedIT.priv of type DS_SERVICE_PRINCIPAL_NAME.

Après vérification nous avons trouvé cette erreur dans la base de connaissance Microsoft : http://support.microsoft.com/kb/321044/fr

 

SOLUTION TECHNET

La cause remontée par la base de connaissance est la suivante :

« Ce problème se produit car deux ou plusieurs comptes d’ordinateur ont le même nom principal de service (SPN) inscrit au Registre. L’ID d’événement 11 est enregistré lorsque le centre de distribution de clés (KDC) reçoit une demande de ticket et que le nom SPN associé figure plusieurs fois sur le catalogue global lors de la vérification sur l’ensemble de la forêt. »

Pour résoudre ce problème, repérez les comptes d’ordinateur dotés du nom SPN en double. Une fois ces ordinateurs repérés, vous pouvez soit supprimer le compte d’ordinateur du domaine, détacher puis rattacher l’ordinateur au domaine, soit utiliser l’utilitaire ADSI Edit pour corriger le nom SPN sur l’ordinateur doté du nom SPN incorrect.

RESOLUTIONS

Pour repérer les comptes d’ordinateur dotés des noms SPN en double, appliquez l’une des méthodes ci-dessous.

Méthode 1 : Utiliser l’outil de support LDP

  • Remarque Si les outils de support de Windows 2000 ne sont pas installés, installez-les à partir du CD-ROM Windows 2000 avant de poursuivre. Le fichier exécutable du programme d’installation des outils de support se trouve dans le dossier Support\Tools du CD-ROM. L’installation ne requiert pas le redémarrage de l’ordinateur. Toutefois, vous devrez peut-être redémarrer l’ordinateur pour mettre à jour les variables d’environnement.
  • Cliquez sur Démarrer, puis sur Exécuter, tapez LDP, puis cliquez sur OK.
  • Cliquez sur Connexion, puis sur Connecter.
  • Laissez les paramètres par défaut, puis cliquez sur OK.
  • Cliquez sur Connexion, puis sur Liaison.
  • Laissez les paramètres par défaut, puis cliquez sur OK.
  • Cliquez sur Affichage, puis sur Arborescence.
  • Dans la boîte de dialogue Affichage de l’arborescence, tapez DC=votre_domaine,DC=com dans la zone BaseDN, où votre_domaine est le nom de votre domaine.
  • Cliquez sur Parcourir, puis sur Rechercher.
  • Dans la boîte de dialogue Rechercher, tapez DC=votre_domaine,DC=com dans la zone Nom unique de base.
  • Dans la boîte de dialogue Rechercher, tapez nom_principal_service=HOST/monordinateur.mondomaine.com dans la zone Filtre. Si le nom principal du service mentionné dans l’erreur du journal système diffère de cet exemple, tapez le nom principal du service auquel l’erreur fait référence.
  • Sous Étendue, cliquez sur Sous-arbre.
  • Cliquez sur Exécuter.

Dans notre cas les deux services (serviceprincipalname=exchangeRFR/EXCCLUS.unifiedit.priv) et (serviceprincipalname=exchangeMDB/EXCCLUS.unifiedit.priv) étaient présents sur la machine virtuelle ainsi que sur un des nœuds du cluster. La question est donc quelles valeurs supprimer. L’article http://technet.microsoft.com/fr-fr/library/aa996905(EXCHG.80).aspx donne un élément de réponse et laisse penser que le nom FDQN attendu ce qui est logique doit correspondre au serveur virtuel Exchange 2007.

Pour supprimer l’entrée nous avons utilisé SetSpn doit voici la syntaxe en précisant bien le nom du serveur à supprimer. L’idée est de supprimer l’entrée incorrecte et non le SPN entier.

setspn -D exchangeMDB/EXCCLUS.unifiedit.priv NODE1

Voici ce que cela a donné

C:\Documents and Settings\_lteruin>setspn -D exchangeMDB/EXCCLUS.unifiedit.priv MA

EXC2K01

Unregistering ServicePrincipalNames for CN=NODE1,OU=Applications,OU=Marseill

e,OU=Servers,DC=unifiedit,DC=priv

exchangeMDB/EXCCLUS.unifiedit.priv

Updated object

 

Vérification

***Searching…

ldap_search_s(ld, « DC=unifiedit,DC=priv », 2, « (serviceprincipalname=exchangeMDB/EXCCLUS.unifiedit.priv) », attrList, 0, &msg)

Result <0>: (null)

Matched DNs:

Getting 1 entries:

>> Dn: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

    5> objectClass: top; person; organizationalPerson; user; computer;

    1> cn: EXCCLUS;

    1> description: Exchange Server cluster virtual network name account;

    1> distinguishedName: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;

    1> name: EXCCLUS;

    1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/EXCCLUS;

———–

 

 

 

C:\Documents and Settings\_lteruin>setspn -D exchangeRFR/EXCCLUS.unifiedit.priv MA

EXC2K01

Unregistering ServicePrincipalNames for CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

exchangeRFR/EXCCLUS.unifiedit.priv

Updated object

 

Vérification

***Searching…

ldap_search_s(ld, « DC=unifiedit,DC=priv », 2, « (serviceprincipalname=exchangeRFR/EXCCLUS.unifiedit.priv) », attrList, 0, &msg)

Result <0>: (null)

Matched DNs:

Getting 1 entries:

>> Dn: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

    5> objectClass: top; person; organizationalPerson; user; computer;

    1> cn: EXCCLUS;

    1> description: Exchange Server cluster virtual network name account;

    1> distinguishedName: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;

    1> name: EXCCLUS;

    1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/EXCCLUS;

 

C:\Documents and Settings\_lteruin>

 

SYNTAXE DE LA COMMANDE SPN

 

Usage: setspn [switches data] computername

Where « computername » can be the name or domain\name

Switches:

-R = reset HOST ServicePrincipalName

 

Usage: setspn -R computername

-A = add arbitrary SPN

Usage: setspn -A SPN computername

-D = delete arbitrary SPN

Usage: setspn -D SPN computername

-L = list registered SPNs

Usage: setspn [-L] computername

 

Examples:

setspn -R daserver1

It will register SPN « HOST/daserver1 » and « HOST/{DNS of daserver1} »

setspn -A http/daserver daserver1

It will register SPN « http/daserver » for computer « daserver1 »

setspn -D http/daserver daserver1

It will delete SPN « http/daserver » for computer « daserver1 »

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :