由于ktpass工具版本问题导致在AD域服务器上创建spn账号失败

发布时间:  2012-07-18 浏览次数:  145 下载次数:  0
问题描述
某局点安装了secospace平台,在与局方AD域服务器关联LDAP认证之前,需要配置spn账号。从微软网站上下载了ktpass.exe工具作为生成工具,按照操作指导书生成bat处理文件。在AD域服务器上执行操作时,发现创建spn账号错误。
告警信息
处理过程
1、修改bat批处理语句中后缀为大写字母,告警2依然存在;
2、在AD域服务器内查找被关联的用户名secoadmin,发现其用户的属性正常;
3、通过在试验室对ktpass.exe工具进行验证,发现该文件存在多个版本,确认win2003 serversp2光盘内自带工具可以正确生成spn账号。前面使用的从微软网站上下载的ktpass.exe工具属于win 2003server sp1的版本,存在bug。
根因
分析2个告警,其中告警1表示域后缀大小写需要区分,必须使用大写字母。告警2表示查找不到用户信息。其中提示的“Successfully mapped seco/spn to secoadmin”并非表示已经创建成功。
建议与总结
后续secospace开局时,注意ktpass工具的选择(建议使用win2003 server,如果操作系统是由win 2000 server升级到
win 2003 server sp,使用win 20000 Resourcekit工具集。

END