SPNが重複していることが職場であった件を調べてみたら記事を見つけたので、忘備録としてメモ。
重複したのはコンピュータ、ドメインに参加できていない。
1 環 境
(1) Windows2012以降
(2) ActiveDirectoryが機能している。
(3) ドメイン管理者の権限をもっている。
2 原因の推定(解決策)
(1)SPNの重複
コンピュータにSPN名が複数登録されたため、コンピュータをサーバで特定する必要がある。
(特定後、重複したSPNの削除 or 重複が発生したコンピュータを一旦削除し、登録する必要がある。)
(2)端末名を誤ってドメインに参加したため、重複が起きている
(端末をIPアドレス等から特定し、ホスト名の変更、ドメインの再加入、誤って登録した際に記録された
SPNの削除。)
単純な重複を見つける方法
コマンドプロンプトを起動して以下のコマンドを入力
setspn -X
上記の重複から関連づけられているアカウントを検索
setspn -L computername
ADに参加したコンピュータのIPアドレスを調べる方法はこちらIPアドレスから逆引きして登録された端末を特定する。
Powershell
Get-ADComputer -Filter "computername" -Properties *
結 果
ドメインサーバにログイン後、setspn -Xを入力するも目的のコンピュータの重複は表示されなかった。
しかし、setspn -L "computername"コマンドで確認すると、複数のSPNが確認できた。
ADに参加した端末を確認した結果、IPアドレスに問題はなかった。
その後、ActiveDirectory管理ツールを起動し、そこから端末の属性エディターに
あるSPN内の重複部分を削除、その後、端末のリセットを行い無事端末リセット完了した。