Как клиенты создают имя службы SPN

Для проверки подлинности службы клиентское приложение создает SPN для экземпляра службы, к которому должно подключиться. Клиентское приложение может использовать функцию DsMakeSpn для создания SPN. Клиент указывает компоненты SPN, используя известные данные или данные, полученные из источников, отличных от самой службы.

Форма SPN представлена следующим образом:

<service class>/<host>:<port>/<service name>

В этой форме требуются «<класс службы>» и «<хост>». "<порт>" и "<имя службы>" являются необязательными.

Как правило, клиент распознает класс служб<>"часть имени" и распознает, какие из необязательных компонентов включаются в имя субъекта-службы. Клиент может получить компоненты СПН из таких источников, как точка подключения службы (SCP) или пользовательский ввод. Например, клиент может считывать атрибут serviceDNSName SCP службы, чтобы получить компонент '<узел>'. Атрибут serviceDNSName содержит DNS-имя сервера, на котором выполняется экземпляр службы, или DNS-имя записей SRV, содержащих данные узла для реплик служб. Компонент "имя службы<>", используемый только для реплицируемых служб, может быть уникальным именем SCP службы, именем DNS домена, обслуживаемого службой, или именем DNS записей SRV или MX.

Для получения дополнительной информации и примера кода, используемого для составления имени службы (SPN) для определённой службы, см. статью Как клиент выполняет проверку подлинности службы сокетов Windows на основе SCP.

Дополнительные сведения и описание компонентов SPN см. раздел "Форматы имен для уникальных SPN".