通常,当您为IIS设置Kerberos时,您可以执行诸如setspn -A HTTP/machine some_account 。 当安装IIS 7时,它将为其内核模式身份validation注册SPN“HOST / machine”。 为什么这个工作? 当没有协议特定的(例如“HTTP”)SPN注册时,“HOST”是什么types的全部SPN? 因为客户端仍然会在TGT请求中指定HTTP SPN,对吗?
(对不起,如果这是一个简单的问题,“主机”是一个可预测的谷歌术语)
主机是所有几个SPN的一个捕获。 这些由您的AD中使用ADSIEdit.msc的CN = Directory Service,CN = Windows NT,CN = Services,CN = Configuration,DC = MyDC,DC = com中的字段SPNmappings确定
有关更多信息,请参见此站点重复SPNs的问题 – 备用工作标题… KB321044 ++
所以我不会忘记:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com