有多个名为 host/计算机名.域名或cifs/计算机名.域名，类型为 DS_SERVICE_PRINCIPA

这里,abc是计算机名,123.com是域名,zy是主域计算机名

昨天在主域上共享了一个文件,abc.123.com用户用过后,主域和辅助域的系统日志里过一个小时左右就报一次:有多个名为 cifs/abc.123.com的计算机名，类型为 DS_SERVICE_PRINCIPAL_NAME 的帐户,事件来源是KDC,错误代码是11

解决办法:

1.把那个共享删除后,错误变成有多个名为 host/abc.123.com，类型为 DS_SERVICE_PRINCIPAL_NAME 的帐户,事件来源是KDC,错误代码是11

*************不知道为什么会这样,是因为我把能访问人数设置为2个人的原因吗?不知道,因为主域上也有别的共享文件,就没有出现过这种情况!

2.经过查询资料，该问题可能由重复的service principal name  引起的，也就是SPN:服务主体名称 (SPN) 是客户端唯一用来标识服务实例的名称。Kerberos 身份验证服务可以使用 SPN 对服务进行身份验证。当客户端想要连接到某个服务时，它将查找该服务的实例，并为该实例编写 SPN，然后连接到该服务并显示该服务的 SPN 以进行身份验证。

安装03光盘下的support tools 工具,安装好后,打开它的命令行工具 
 

 
输入

ldifde -f dupespn.ldp -s zy -t 389 -d "dc=123,dc=com" -p subtree -r "(&(objectClass=user)(ServicePrincipalName=host/abc.123.com))" -l "dn,ServicePrincipalName,objectClass,sAMAccountName" 

如上图,导出2个项目,说明有两个重复的SPN

进入c:\Program Files\Support Tools目录,也就是支持工具的安装目录,找到dupespn.ldp这个文件,用记事本打开 

很明显,问题出来了,可以看到哪两台计算机重复了!可以知道哪个是无效的,进入Active Directory用户与计算机,在computer里找到8cf62cc104fe43a,把它删除.再执行上面的命令,就只有那个正确abc.123.com的相关的值了!

OK,如果被删除的那个还有用，那么重新加域即可，这样它会重新注册SPN，然后我们注销它现有的SPN:

setspn -d spn 8cf62cc104fe43a unregistering ServicePrincipalNames for CN=8cf62cc104fe43a,CN=Computers,DC=123,DC=com

行,问题解决!

 

参考:http://bbs.doit.com.cn/thread-130438-1-1.html