Kerberos SPN para um FQDN em vários servidores
Este é um pouco estranho. Estou construindo um novo servidor web hospedado em uma pilha LAMP para substituir um servidor IIS antigo. Seu nome DNS pretendido está atualmente ocupado pelo servidor antigo. Tenho certificados SSL configurados para o novo servidor e configurações prontas para mover o DNS, mas gostaria de ter um SPN / TGT (HTTP / {fqdn} @ {domain}) configurado no host com antecedência como bem. Posso ter uma conta de serviço separada para mantê-lo,O problema é que o FQDN está ocupado no momento.
A criação desse SPN no host LAMP roubará do host IIS a capacidade de autenticar usuários por meio do Kerberos?
Фактычна немагчыма будзе звязаць адзін і той жа SPN з новым прынцыпалам, пакуль ён не будзе выдалены са старога прынцыпала. У выпадку, калі вы зможаце пераканаць AD дубляваць яго на некалькіх прынцыпах, вы атрымаеце дзіўныя вынікі, спрабуючы атрымаць білет на kerberos. У залежнасці ад шэрагу фактараў ён альбо выбярэ зыходныя, новыя, альбо проста barf, бо знайшоў абодва.
Так што, не рабіце гэтага. Мая рэкамендацыя - разглядаць новую паслугу як унікальную, пакуль вы не вывядзеце з эксплуатацыі стары сервер.