Это немного странно. Я создаю новый веб-сервер, размещенный в стеке LAMP, чтобы заменить старый сервер IIS. Его предполагаемое DNS-имя в настоящее время занято старым сервером. У меня есть SSL-сертификаты, настроенные для нового сервера, и конфигурации, готовые для переноса DNS, но я бы хотел заранее настроить SPN / TGT (HTTP / {fqdn} @ {domain}) на хосте как хорошо. У меня может быть отдельная учетная запись службы для ее обслуживания, проблема в том, что полное доменное имя в настоящее время занято.
Будет ли создание этого SPN на хосте LAMP лишить хост IIS возможности аутентифицировать пользователей через Kerberos?
Фактически невозможно будет связать одно и то же имя участника-службы с новым участником, пока оно не будет удалено из старого участника. Если вы можете убедить AD дублировать его на нескольких принципалах, у вас будут странные результаты при попытке получить билет Kerberos. В зависимости от ряда факторов он либо выберет исходные учетные данные, либо новые учетные данные, либо просто заблокирует, потому что нашел и то, и другое.
Так что не делай этого. Я рекомендую рассматривать новую службу как уникальную до тех пор, пока вы не списываете старый сервер.