SICHERHEIT
Warum und wann dieser Vorgang ausgeführt wird
Es ist am besten, SPNs einem separaten, benannten Konto in Active Directory zuzuweisen. In diesem Fall muss das Konto ein Mitglied der Gruppe "Lokaler Administrator" auf dem Domino-Server-Computer sein.
In einigen Fällen können Sie stattdessen SPNs dem Standardkonto zuweisen, das für einen Domino-Computer erstellt wurde, als es in Active Directory registriert wurde. In Active Directory besteht dieser Kontoname aus dem Computernamen (beispielsweise domino1). Auf dem Computer wird darauf als das lokale Systemkonto verwiesen. Die Verwendung des lokalen Systemkontos ist nützlich, wenn noch kein benanntes Konto vorhanden ist, das verwendet werden kann, oder wenn Ihr Windows-Administrator Active Directory kein benanntes Konto hinzufügen möchte.
Um eine einmalige Anmeldung unter Windows ordnungsgemäß auszuführen, darf ein bestimmter SPN nur einem Active Directory-Konto zugewiesen sein. Wenn Web-Clients über eine URL auf zwei oder mehr Domino-Server zugreifen können, dürfen Sie den SPN, der dieser URL zugeordnet ist, keinem lokalen Systemkonto zuweisen, sondern müssen ihn einem Konto zuweisen, das die Domino-Server gemeinsam nutzen.
Wenn beispielsweise ein Load Balancer Anforderungen für www.renovations.com an den Server "domino1" oder den Server "domino2" verteilt, müssen Sie für www.renovations.com einem benannten Benutzerkonto in Active Directory (und nicht einem lokalen Systemkonto) einen SPN zuweisen, den beide Server zum Anmelden bei Active Directory verwenden.
Sie müssen in folgenden Fällen SPNs einem benannten Konto anstelle des lokalen Systemkontos zuweisen:
Zugehörige Informationen Fehlersuche bei der einmaligen Anmeldung von Windows für Web-Clients (SPNEGO)