当setspn -q找到spn时，为什么setspn -l会返回“没有找到这样的spn”？

Question

我试图解决为什么windows身份验证在IIS中托管的网站在客户站点上失败的原因。在执行setspn -l serviceUser以列出与服务帐户关联的spn时，我们得到以下输出

Registered ServicePrincipalNames for CN=serviceUser,CN=Users,DC=test,DC=local:
        http/service.test.local test\serviceUser

然而，当我们使用setspn -q http/service.test.local搜索spn时，我们得到以下输出：

Checking domain DC=test,DC=local

No such SPN found.

是什么导致spn以一种方式而不是另一种方式被发现？

Answer 1

最终问题是客户实际上创建了包含在SPN中的用户名的SPN。我不知道他们是怎么做到的，可能不是通过使用setspn。

如果我能更仔细地关注这个问题，我就会注意到，在setspn -l serviceUser的输出中，它包含了用户名。

一旦通过从spn中删除用户名来纠正这一点，setspn的输出就会如期而至。

c:\>setspn -l serviceUser
Registered ServicePrincipalNames for CN=serviceUser,CN=Users,DC=test,DC=local:
        http/service.test.local

c:\>setspn -q http/service.test.local
Checking domain DC=test,DC=local:
CN=serviceUser,CN=Users,DC=test,DC=local:
        http/service.test.local