Posted on 2008-06-23 17:17
Fingki.li 閱讀(572)
評論(0) 編輯 收藏 所屬分類:
About security
要使用 Kerberos 身份驗證,某種服務必須注冊其名稱(稱為服務主體名稱
(SPN)),以及運行該服務所使用的帳戶。默認情況下,Active Directory® 目錄服務注冊 NetBIOS
或者計算機名,并允許計算機帳戶使用 Kerberos。如果要以不同帳戶或使用不同名稱(例如,如果計算機使用其他的 WINS 或 DNS
名)運行服務,那么您可以使用 Setspn.exe 命令行工具設置 SPN。要設置 SPN,您必須是域管理員。
Setspn.exe
命令行實用程序可以在 Windows Server 2003 CD-ROM 內的支持工具包中獲得。在window2003中可以運行support tools中的suptools.msi來安裝。
使用 Setspn.exe
下面是使用 Setspn.exe 命令行實用程序的基本語法,其中“accountname”可以是單獨的名稱,也可以是域\名稱。
setspn [parameter] accountname
Setspn.exe 可以使用下列參數:
| 參數 |
功能 |
示例 |
| -R |
重置 HOST ServicePrincipalName。 |
setspn -R computername |
| -A |
添加任意的 SPN。 |
setspn -A SPN computername |
| -D |
刪除任意的 SPN。 |
setspn -D SPN computername |
| -L |
列出已注冊的 SPN。 |
setspn -L SPN computername |
下面的示例使用 Setspn.exe 命令行實用程序注冊以 Domain\UserAccount 運行的應用程序池:
SETSPN.EXE -A HOST/<your computer name> Domain\UserAccount
下面的示例注冊 SPN“HOST/daserver1”和“HOST/{DNS of daserver1}”:
setspn -R daserver1
下面的示例為計算機“daserver1”注冊 SPN“http/daserver”:
setspn -A http/daserver daserver1
下面的示例從計算機“daserver1”刪除 SPN“http/daserver”:
setspn -D http/daserver daserver1