Posted on 2008-06-23 17:17
Fingki.li 阅读(558)
评论(0) 编辑 收藏 所属分类:
About security
要使用 Kerberos 身份验证,某种服务必须注册其名称(称为服务主体名称
(SPN)),以及运行该服务所使用的帐户。默认情况下,Active Directory® 目录服务注册 NetBIOS
或者计算机名,并允许计算机帐户使用 Kerberos。如果要以不同帐户或使用不同名称(例如,如果计算机使用其他的 WINS 或 DNS
名)运行服务,那么您可以使用 Setspn.exe 命令行工具设置 SPN。要设置 SPN,您必须是域管理员。
Setspn.exe
命令行实用程序可以在 Windows Server 2003 CD-ROM 内的支持工具包中获得。在window2003中可以运行support tools中的suptools.msi来安装。
使用 Setspn.exe
下面是使用 Setspn.exe 命令行实用程序的基本语法,其中“accountname”可以是单独的名称,也可以是域\名称。
setspn [parameter] accountname
Setspn.exe 可以使用下列参数:
参数 |
功能 |
示例 |
-R |
重置 HOST ServicePrincipalName。 |
setspn -R computername |
-A |
添加任意的 SPN。 |
setspn -A SPN computername |
-D |
删除任意的 SPN。 |
setspn -D SPN computername |
-L |
列出已注册的 SPN。 |
setspn -L SPN computername |
下面的示例使用 Setspn.exe 命令行实用程序注册以 Domain\UserAccount 运行的应用程序池:
SETSPN.EXE -A HOST/<your computer name> Domain\UserAccount
下面的示例注册 SPN“HOST/daserver1”和“HOST/{DNS of daserver1}”:
setspn -R daserver1
下面的示例为计算机“daserver1”注册 SPN“http/daserver”:
setspn -A http/daserver daserver1
下面的示例从计算机“daserver1”删除 SPN“http/daserver”:
setspn -D http/daserver daserver1