Delen via

Naamnotaties voor unieke SPN's

  • Artikel

Een SPN moet uniek zijn in het forest waarin deze is geregistreerd. Als deze niet uniek is, mislukt de verificatie. De SPN-syntaxis heeft vier elementen: twee vereiste elementen en twee extra elementen die u, indien nodig, kunt gebruiken om een unieke naam te produceren zoals vermeld in de volgende tabel.

<service class>/<host>:<port>/<service name>
Element Beschrijving
"<serviceklasse>" Een tekenreeks die de algemene serviceklasse identificeert; Bijvoorbeeld SqlServer. Er zijn bekende serviceklassenamen, zoals www voor een webservice of ldap voor een adreslijstservice. Over het algemeen kan dit elke tekenreeks zijn die uniek is voor de serviceklasse. Houd er rekening mee dat de SPN-syntaxis een slash (/) gebruikt om elementen te scheiden, zodat dit teken niet kan worden weergegeven in een serviceklassenaam.
"<host>" De naam van de computer waarop de service wordt uitgevoerd. Dit kan een volledig gekwalificeerde DNS-naam of een NetBIOS-naam zijn. Houd er rekening mee dat NetBIOS-namen niet gegarandeerd uniek zijn in een forest, dus een SPN die een NetBIOS-naam bevat, is mogelijk niet uniek.
"<poort>" Een optioneel poortnummer om onderscheid te maken tussen meerdere exemplaren van dezelfde serviceklasse op één hostcomputer. Laat dit onderdeel weg als de service gebruikmaakt van de standaardpoort voor de serviceklasse.
"<servicenaam>" Een optionele naam die wordt gebruikt in de SPN's van een replicaerbare service om de gegevens of services te identificeren die door de service of het domein worden geleverd door de service. Dit onderdeel kan een van de volgende indelingen hebben:
  • De DN-naam of objectGUID van een object in Active Directory Domain Services, zoals een serviceaansluitpunt (SCP).
  • De DNS-naam van het domein voor een service die een opgegeven service voor een domein als geheel biedt.
  • De DNS-naam van een SRV- of MX-record.

 

De onderdelen in de SPN's van een service zijn afhankelijk van hoe de service wordt geïdentificeerd en gerepliceerd. Er zijn twee basisscenario's: op host gebaseerde services en repliceerbare services.

Op host gebaseerde services

Voor een hostservice wordt het onderdeel '<servicenaam>' weggelaten omdat de service uniek wordt geïdentificeerd door de serviceklasse en de naam van de hostcomputer waarop de service is geïnstalleerd.

<service class>/<host>

Alleen de serviceklasse is voldoende om clients te identificeren welke functies de service biedt. U kunt exemplaren van de serviceklasse installeren op veel computers en elk exemplaar biedt services die zijn geïdentificeerd met de hostcomputer. FTP en Telnet zijn voorbeelden van op host gebaseerde services. De SPN's van een service-exemplaar op basis van een host kunnen het poortnummer bevatten als de service een niet-standaardpoort gebruikt of als er meerdere exemplaren van de service op de host zijn.

<service class>/<host>:<port>

Repliceerbare services

Voor een replicaerbare service kunnen er een of meer exemplaren van de service (replica's) zijn en clients onderscheiden niet met welke replica ze verbinding maken, omdat elke service dezelfde service biedt. De SPN's voor elke replica hebben dezelfde '<serviceklasse>' en '<servicenaam>' onderdelen, waarbij '<servicenaam>' de functies identificeert die door de service worden geleverd. Alleen de onderdelen "<host>" en optionele "<poort>" verschillen van SPN tot SPN.

<service class>/<host>:<port>/<service name>

Een voorbeeld van een replicaerbare service is een exemplaar van een databaseservice die toegang biedt tot een opgegeven database. In dit geval identificeert '<serviceklasse>' de databasetoepassing en '<servicenaam>' identificeert de specifieke database. "<servicenaam>" kan de DN-naam van een serviceverbindingspunt (SCP) zijn die verbindingsgegevens voor de database bevat.

MyDBService/host1.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3.example.com/CN=hrdb,OU=mktg,DC=example,DC=com

Als clients de NetBIOS-naam gebruiken om de SPN van een service op te stellen, moet elke replica ook een SPN met de NetBIOS-naam registreren.

MyDBService/host1/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3/CN=hrdb,OU=mktg,DC=example,DC=com

Een ander voorbeeld van een replicaerbare service is een service die services levert aan een heel domein. In dit geval is het onderdeel '<servicenaam>' de DNS-naam van het domein dat wordt geleverd. Een Kerberos KDC is een voorbeeld van dit type replicaerbare service.

Houd er rekening mee dat als de DNS-naam van een computer wordt gewijzigd, het systeem het element '<host>' bijwerken voor alle geregistreerde SPN's voor die host in het forest.