Добрый день!

Недавно на контроллерах домена обнаружил ошибки такого вида:
KDC обнаружил повторяющиеся имена при обработке запроса проверки подлинности Kerberos. Повторяющееся имя: MSSQLSvc/server.mydomain.ru:1433 (тип DS_SERVICE_PRINCIPAL_NAME). Это может привести к сбоям проверки подлинности или понижению до NTLM. Чтобы предотвратить появление подобной ситуации, удалите в Active Directory повторяющиеся записи для MSSQLSvc/server.mydomain.ru:1433.

Нагуглил, что это дублируются учетные записи пользователей или компьютеров, и посмотреть их можно командой
setspn -q MSSQLSvc/server.mydomain.ru:1433

Проверка домена DC=mydomain,DC=ru
CN=Иванов,CN=Users,DC=mydomain,DC=ru
MSSQLSvc/Server1.mydomain.ru:1433
MSSQLSvc/Server1.mydomain.ru
MSSQLSvc/Server.mydomain.ru:1433
MSSQLSvc/Server.mydomain.ru
MSSQLSvc/loginov-pc1.mydomain.ru:1433
MSSQLSvc/loginov-pc1.mydomain.ru
MSSQLSvc/virtual-server.mydomain.ru

CN=SERVER,OU=Servers,DC=mydomain,DC=ru
MSSQLSvc/server.mydomain.ru:1433
MSSQLSvc/server.mydomain.ru
TERMSRV/server.mydomain.ru
WSMAN/server.mydomain.ru
RestrictedKrbHost/server.mydomain.ru
HOST/server.mydomain.ru
TERMSRV/SERVER
WSMAN/SERVER
RestrictedKrbHost/SERVER
HOST/SERVER

Найдено существующее SPN.

Не совсем ясно причины, по которым дублируются учетки.
Что касается учетки "Иванов" - то от имени этой учетки на старом сервере запускался сиквел, в настоящее время и сервер переименован, и сиквела на нем нет.

Воспрос в том, что можно ли удалить обе записи -
MSSQLSvc/Server1.mydomain.ru:1433
MSSQLSvc/Server1.mydomain.ru
командой setspn -d MSSQLSvc/server.mydomain.ru:1433 mydomain\ivanov
командой setspn -d MSSQLSvc/server.mydomain.ru mydomain\ivanov

Что делать с дубляжем, который присутствует в варианте, когда сиквел запускается от имени Нетворк сервис, там опять запись два раза, с указанием порта и без указания.

Работает по стандартному порту.

Не совсем ясно причины, по которым дублируются учетки. »
ИМХО вот причина
сервер переименован, и сиквела на нем нет. »
да и сиквел удалился некорректно скорее всего.
Воспрос в том, что можно ли удалить обе записи »
ИМХО можно, только не забываем про бэкап.
сиквел запускается от имени Нетворк сервис, там опять запись два раза, с указанием порта и без указания »
Ткните носом, не увидел.

Ткните носом, не увидел. »
это запуск от имени юзера:
CN=Иванов,CN=Users,DC=mydomain,DC=ru
MSSQLSvc/Server.mydomain.ru:1433
MSSQLSvc/Server.mydomain.ru

а это - от имени нетворк сервис (то бишь компьютера в конечном счете)
CN=SERVER,OU=Servers,DC=mydomain,DC=ru
MSSQLSvc/server.mydomain.ru:1433
MSSQLSvc/server.mydomain.ru
(+ выделил в первом сообщении)
Если у вас установлен сиквел и есть домен, просьба, попробуйте выполнить команду на контроллере домена setspn -q MSSQLSvc/server.mydomain.ru:1433, только подставить сервер с сиквелом.
Хотелось бы узнать, действительно ли строки должны повторяться - с указанием порта и без .

Разница между строкой с портом и без в том, что с портом для TCP протокола, без порта - для отличного от TCP, ИМХО так и должно быть (на работе завтра посмотрю). https://msdn.microsoft.com/ru-ru/library/ms191153.aspx
Похожая тема на Технете https://social.technet.microsoft.com/Forums/ru-RU/7b340d9b-1085-4169-b6eb-7851345cc6f2/-eventid-11?forum=WS8ru

Проверил на работе, присутствуют обе записи - с портом и без.

Подобная проблема, не могу разобраться...
Ошибка на КД следующего рода: KDC обнаружил повторяющиеся имена при обработке запроса проверки подлинности Kerberos. Повторяющееся имя: MSSQLSvc/dep11-db.dep11.mydomain.local:63277 (тип DS_SERVICE_PRINCIPAL_NAME). Это может привести к сбоям проверки подлинности или понижению до NTLM. Чтобы предотвратить появление подобной ситуации, удалите в Active Directory повторяющиеся записи для MSSQLSvc/dep11-db.dep11.mydomain.local:63277.

Результат команды setspn -q MSSQLSvc/dep11-db.dep11.mydomain.local:63277 на КД (ad-dep11.mydomain.local):

C:\Users\Администратор.DEP11>setspn -q MSSQLSvc/dep11-db.dep11.mydomain.local:63277
Проверка домена DC=dep11,DC=mydomain,DC=local

CN=Администратор,CN=Users,DC=dep11,DC=mydomain,DC=local
MSSQLSvc/Dep11-DB.dep11.mydomain.local:63277
MSSQLSvc/Dep11-DB.dep11.mydomain.local:SQL2008
MSSQLSvc/Data-d11.dep11.mydomain.local:1418
MSSQLSvc/Data-d11.dep11.mydomain.local:SQL2008

CN=DEP11-DB,CN=Computers,DC=dep11,DC=mydomain,DC=local
MSSQLSvc/Dep11-DB.dep11.mydomain.local:63277
MSSQLSvc/Dep11-DB.dep11.mydomain.local:SQL2008
MSSQLSvc/Dep11-DB.dep11.mydomain.local:51554
MSSQLSvc/Dep11-DB.dep11.mydomain.local:1433
tapinego/DEP11-DB
tapinego/Dep11-DB.dep11.mydomain.local
MSSQLSvc/Dep11-DB.dep11.mydomain.local
TERMSRV/Dep11-DB.dep11.mydomain.local
RestrictedKrbHost/Dep11-DB.dep11.mydomain.local
HOST/Dep11-DB.dep11.mydomain.local
TERMSRV/DEP11-DB
RestrictedKrbHost/DEP11-DB
HOST/DEP11-DB

Найдено существующее SPN.

То есть действительно есть повторяющиеся учетки. Но я не понимаю где нужно удалить и как именно лишнюю учетку, в первом или во втором случае? В домене DEP11.mydomain.local есть сервер DEP11-DB, на котором установлены три версии SQL (2005, 2008 и 2014). Боюсь удалить не там, и что заблокируется вход в SQL. Сейчас вход в SQL осуществляется при помощи доменной учетки DEP11.mydomain.local\Администратор.

Думаю нужно сделать так:
1. Смотрите на сервере, какой инстанс SQL слушает порт 63277.
2. Смотрите из под какой учетки этот инстанс работает.
3. Удаляете SPN из другой учетки. (например, если сервис работает под учеткой CN=Администратор, SPN надо будет удалить у четки DEP11-DB.

ko4evneg

Спасибо, все получилось, ошибки пропали!