Dela via

Namnformat för unika SPN

  • Artikel

Ett SPN måste vara unikt i skogen där det är registrerat. Om den inte är unik misslyckas autentiseringen. SPN-syntaxen har fyra element: två obligatoriska element och två ytterligare element som du vid behov kan använda för att skapa ett unikt namn enligt listan i följande tabell.

<service class>/<host>:<port>/<service name>
Element Beskrivning
"<service class>" En sträng som identifierar den allmänna tjänstklassen. till exempel "SqlServer". Det finns välkända tjänstklassnamn, till exempel "www" för en webbtjänst eller "ldap" för en katalogtjänst. I allmänhet kan det här vara valfri sträng som är unik för tjänstklassen. Tänk på att SPN-syntaxen använder ett snedstreck (/) för att separera element, så det här tecknet kan inte visas i ett tjänstklassnamn.
"<värd>" Namnet på den dator där tjänsten körs. Detta kan vara ett fullständigt kvalificerat DNS-namn eller ett NetBIOS-namn. Tänk på att NetBIOS-namn inte garanteras vara unika i en skog, så ett SPN som innehåller ett NetBIOS-namn kanske inte är unikt.
"<port>" Ett valfritt portnummer för att skilja mellan flera instanser av samma tjänstklass på en enda värddator. Utelämna den här komponenten om tjänsten använder standardporten för sin tjänstklass.
"<tjänstnamn>" Ett valfritt namn som används i SPN:erna för en replikerbar tjänst för att identifiera de data eller tjänster som tillhandahålls av tjänsten eller domänen som hanteras av tjänsten. Den här komponenten kan ha något av följande format:
  • Det unika namnet eller objectGUID för ett objekt i Active Directory Domain Services, till exempel en tjänstanslutningspunkt (SCP).
  • DNS-namnet på domänen för en tjänst som tillhandahåller en angiven tjänst för en domän som helhet.
  • DNS-namnet på en SRV- eller MX-post.

 

De komponenter som finns i en tjänsts SPN beror på hur tjänsten identifieras och replikeras. Det finns två grundläggande scenarier: värdbaserade tjänster och replikerbara tjänster.

Värdbaserade tjänster

För en värdbaserad tjänst utelämnas komponenten "<tjänstnamn>" eftersom tjänsten identifieras unikt av tjänstklassen och namnet på den värddator där tjänsten är installerad.

<service class>/<host>

Enbart tjänstklassen räcker för att identifiera de funktioner som tjänsten tillhandahåller för klienter. Du kan installera instanser av tjänstklassen på många datorer och varje instans tillhandahåller tjänster som identifieras med dess värddator. FTP och Telnet är exempel på värdbaserade tjänster. SPN:erna för en värdbaserad tjänstinstans kan innehålla portnumret om tjänsten använder en port som inte är standard eller om det finns flera instanser av tjänsten på värden.

<service class>/<host>:<port>

Replikerbara tjänster

För en replikerbar tjänst kan det finnas en eller flera instanser av tjänsten (repliker) och klienterna skiljer inte åt vilken replik de ansluter till eftersom var och en tillhandahåller samma tjänst. SPN:erna för varje replik har samma "<tjänstklass>" och "<tjänstnamn>" komponenter, där "<tjänstnamn>" identifierar mer specifikt de funktioner som tillhandahålls av tjänsten. Endast komponenterna "<host>" och optional "<port>" varierar från SPN till SPN.

<service class>/<host>:<port>/<service name>

Ett exempel på en replikerbar tjänst skulle vara en instans av en databastjänst som ger åtkomst till en angiven databas. I det här fallet identifierar "<tjänstklass>" databasprogrammet och "<tjänstnamn>" identifierar den specifika databasen. "<tjänstnamn>" kan vara det unika namnet på en tjänstanslutningspunkt (SCP) som innehåller anslutningsdata för databasen.

MyDBService/host1.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3.example.com/CN=hrdb,OU=mktg,DC=example,DC=com

Om klienter använder NetBIOS-namnet för att skapa en tjänsts SPN måste varje replik också registrera ett SPN som innehåller NetBIOS-namnet.

MyDBService/host1/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3/CN=hrdb,OU=mktg,DC=example,DC=com

Ett annat exempel på en replikerbar tjänst är en tjänst som tillhandahåller tjänster till en hel domän. I det här fallet är komponenten "<service name>" DNS-namnet på domänen som hanteras. En Kerberos KDC är ett exempel på den här typen av replikerbar tjänst.

Tänk på att om DNS-namnet på en dator ändras uppdaterar systemet elementet "<värd>" för alla registrerade SPN:er för värden i skogen.