SICHERHEIT
Warum und wann dieser Vorgang ausgeführt wird
Der Active Directory-Administrator führt die folgenden Schritte aus:
Anmerkung: Wenn Sie das domspnego.cmd-Dienstprogramm verwendet haben, hat das Dienstprogramm eine Ausgabebefehlsdatei mit setspn-Befehlen generiert, mit deren Hilfe der Active Directory-Administrator SPNs definieren kann.
Prozedur
1. Vergewissern Sie sich, dass der IBM® Domino-Server über eine gültige Konfiguration für das Domain Name System (DNS) verfügt. Beispiel:
nslookup vollständig_qualifizierter_Domänenname_des_Service
Geben Sie den folgenden Befehl ein, um zu überprüfen, ob DNS den vollständig qualifizierten Namen des Domino-Service abrufen kann:
nslookup IP-Adresse_des_Domino-Servers
Anmerkung: Auf Ihren Domino-Server kann möglicherweise über einen DNS-Alias zugegriffen werden. Ist ein Alias vorhanden, müssen Sie einen SPN für den Alias definieren. Weitere Informationen hierzu finden Sie am Ende dieses Themas.
3. Führen Sie den folgenden Befehl aus, um alle DNS-Hostnamen, die Sie zuvor notiert haben, in Ihrem ausgewählten Active Directory-Konto als SPN zu definieren. Geben Sie HTTP/ auch für HTTPS URLs an.
wobei
DNS-Name ein DNS-Hostname ist, der zuvor notiert wurde, und
Name des Benutzerkontos das Konto ist, das der Domino-Server verwendet, wenn sich der Domino Windows-Dienst anmeldet. Bei Verwendung des lokalen Systemkontos ist der Name des Benutzerkontos der einfache Name des Computers, auf dem Domino ausgeführt wird, beispielsweise "domino1".
Anmerkung: Weisen Sie einem Konto nur einen bestimmten SPN zu. Die einmalige Anmeldung von Windows für Web-Clients funktioniert nicht, wenn ein SPN mehreren Konten zugewiesen ist.
Um einen SPN in einem Konto zu löschen, verwenden Sie den Befehl setspn mit dem Parameter "-d" anstelle des Parameters "-a". Beispielsweise können Sie einen SPN von einem Konto löschen, bevor Sie ihn einem anderen Konto zuweisen. Beachten Sie, dass ein SPN nur einem Konto zugewiesen werden kann.
Ermitteln, ob über einen DNS-Alias auf Ihren Domino-Server zugegriffen wird
Auf Ihren Domino-Server kann möglicherweise über einen Alias zugegriffen werden. In DNS kann ein CNAME-Datensatz (Canonical Name) einen Alias definieren. In einigen Szenarios verwendet der Client-Browser beim Ermitteln des SPNs, für den ein Kerberos-Service-Ticket angefordert werden muss, den DNS zum Auflösen eines CNAME-Aliasnamens in einen Hostnamen. In diesem Fall benötigen Sie einen für den aufgelösten Hostnamen definierten SPN, den der Aliasname repräsentiert.
Ermitteln Sie Ihre DNS-Einstellungen für Aliasnamen, die von Ihrem Domino-Server verwendet werden, mithilfe des in der Eingabeaufforderung angezeigten nslookup-Befehls im interaktiven Modus mit Debugeinstellungen (set d2). Um beispielsweise DNS-Informationen anzuzeigen, die den Hostnamen enthalten, in den Ihr Aliasname www.renovations.com aufgelöst wird, geben Sie Folgendes ein:
C:\>nslookup
> set d2
> www.renovations.com
Wenn die Ausgabe von "nslookup" www.renovations.com als einen CNAME-Aliasnamen für den Hostnamen server3.ad.ost.renovations.com angibt, benötigen Sie einen SPN für HTTP/server3.ad.ost.renovations.com.
Zugehörige Konzepte SPNs mit dem domspnego-Dienstprogramm zuweisen
Zugehörige Tasks Überprüfen, ob der Domino-Server unter dem korrekten Benutzerkonto angemeldet ist Windows-Dienst für Domino einrichten
Zugehörige Verweise Beispiele für die Kontoauswahl und SPNs
Zugehörige Informationen Fehlersuche bei der einmaligen Anmeldung von Windows für Web-Clients (SPNEGO)