"Setspn -s" vs. "setspn -a"

8

Laut Setspn-Übersicht wird davon abgeraten, Setspn -Aeinen SPN-Datensatz hinzuzufügen, und es wird empfohlen, ihn Setspn -Sstattdessen zu verwenden .

Es wird gesagt, dass Setspn -Sgeprüft wird, ob der SPN bereits vorhanden ist, bevor ein neuer hinzugefügt wird. Setspn –Aführt diese Prüfung nicht durch.

Obwohl Sie Setspn -A verwenden können, um einen SPN hinzuzufügen, sollten Sie stattdessen Setspn -S verwenden, da -S überprüft, ob keine doppelten SPNs vorhanden sind.

Unter Windows Server 2012 sehe ich das jedoch Setspn -Sund Setspn -Averhalte mich genauso: Wenn ein SPN-Eintrag für ein Konto vorhanden ist, wird sowohl mit -Aals auch mit -SArgumenten ein Fehler angezeigt.

Gibt es einen wirklichen Unterschied zwischen Setspn -Sund Setspn -A?

bahrep
quelle

Antworten:

13

Nicht länger. Sie haben Ihre eigene Frage beantwortet. Es wurde offensichtlich entschieden, dass die ursprüngliche -A-Funktionalität nicht mehr erforderlich ist, um nicht mehr nach Duplikaten zu suchen ... aber Sie können nicht einfach die -A herausreißen, weil irgendwo jemandes Skript -A verwendet hat würde brechen.

Hinzufügen einiger offizieller Unterlagen zur Sicherung meiner Behauptung:

http://technet.microsoft.com/en-us/library/hh831747.aspx

Änderungen an SetSPN


In Windows Server 2012 kann SetSPN keine doppelten SPNs mehr in einer Domäne registrieren. Wenn SetSPN –a verwendet wird, behandelt SetSPN es als SetSPN –s.

Weitere Informationen zu SetSPN finden Sie unter Tech Principal Names (SPNs) SetSPN-Syntax (Setspn.exe) im TechNet-Wiki. Die Befehlsreferenz finden Sie unter Setspn in der TechNet-Bibliothek.

Ryan Ries
quelle
5
+1 für die Verwendung von wohl oder übel in einer SO-Antwort;)
Adam