Konfigurieren eines Dienstprinzipalnamens (SPN) für NLB-Verwaltungspunkt-Standortsysteme

  • Artikel

Letzte Aktualisierung: April 2011

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung des Themas: August 2007

Wenn Verwaltungspunkt-Standortsysteme in NLB-Clustern (Network Load Balancing, Netzwerklastenausgleich) an Standorten im gemischten Modus konfiguriert werden, lässt die Ausführung des Anwendungspools der Internetinformationsdienste-Website über das lokale Systemkonto des Standortsystemcomputers nicht zu, dass Clients das Standortsystem über die Kerberos-Authentifizierung authentifizieren. Wenn Standortsysteme in einem NLB-Cluster konfiguriert sind, muss ein Domänenbenutzerkonto konfiguriert werden, um die relevanten IIS-Website-Anwendungspools für die Standortsysteme auszuführen.

Wichtig

Das Konfigurieren eines Dienstprinzipalnamens (Service Principal Name, SPN) für Verwaltungspunkt-Standortsysteme, die in NLB-Clustern konfiguriert werden, ist für Standorte im einheitlichen Modus nicht erforderlich.

Zur Verwendung von Kerberos als Authentifizierungsprotokoll muss die Anwendungspoolidentität auf dem IIS-Anwendungspool für das Standortsystem zum Verwenden eines Domänenbenutzerkontos und eines in den Active Directory-Domänendiensten registrierten SPN für das Konto konfiguriert sein. Das SetSPN-Dienstprogramm kann verwendet werden, um einen SPN für das Domänenbenutzerkonto zu registrieren, das für die Ausführung des IIS-Anwendungspools für NLB-Standortsysteme konfiguriert ist. Das SetSPN-Dienstprogramm muss auf einem Computer ausgeführt werden, der sich in der Domäne des Standortservers befindet. Außerdem muss es unter Verwendung der Anmeldeinformationen des Domänenadministrators ausgeführt werden. Gehen Sie wie folgt vor, um mithilfe des SetSPN-Dienstprogramms einen SPN für Standortsysteme zu konfigurieren, die für den Netzwerklastenausgleich konfiguriert sind.

Hinweis

Zum Verwenden des SetSPN-Dienstprogramms oder zum Öffnen einer ADSIEdit-MMC-Konsole müssen zunächst die Microsoft Windows Server-Supporttools installiert werden. Diese Tools befinden sich im Ordner für Supporttools auf der Windows 2000 Server- und der Windows Server 2003-CD. Um die Windows Server-Supporttools zu installieren, wechseln Sie auf der Installations-CD des Servers in das Verzeichnis \SUPPORT\TOOLS\ und führen die Datei suptools.msi aus.

So erstellen Sie manuell einen Domänenbenutzer-Dienstprinzipalnamen für das Dienstkonto des IIS-Anwendungspools

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dann im Dialogfeld Ausführen den Befehl cmd ein.

  2. Wechseln Sie von der Befehlszeile zum Installationsverzeichnis für die Windows Server-Supporttools. Standardmäßig befinden sich diese Tools im Verzeichnis „C:\Programme\Supporttools“.

  3. Geben Sie einen gültigen Befehl ein, um den SPN zu erstellen. Der Befehl sollte in der folgenden Form eingegeben werden: Setspn –A HTTP/<NLB-Clustername> <Domäne\Benutzername>

  4. Vergewissern Sie sich, dass der Befehl erfolgreich ausgeführt wurde, indem Sie die Ausgabe des Befehls für die aktualisierte Objektzeile überprüfen.

So überprüfen Sie über die ADSIEdit-MMC-Konsole, ob der SPN ordnungsgemäß registriert ist

  1. Erstellen Sie ein Domänenbenutzerkonto, das als IIS-Dienstkonto verwendet wird, oder wählen Sie ein entsprechendes Konto aus.

  2. Klicken Sie auf Start und anschließend auf Ausführen, und geben Sie adsiedit.msc ein, um die ADSIEdit-MMC-Konsole zu starten.

  3. Stellen Sie ggf. eine Verbindung mit der Domäne des Standortservers her.

  4. Erweitern Sie im Konsolenbereich die Domäne des Standortservers, erweitern Sie DC=<definierter Name des Servers> und anschließend CN=Benutzer, und klicken Sie dann mit der rechten Maustaste auf CN=<Dienstkontobenutzer>. Klicken Sie im Kontextmenü auf Eigenschaften.

  5. Überprüfen Sie im Dialogfeld CN=<Dienstkontobenutzer> Eigenschaften den Wert Dienstprinzipalname, um sicherzustellen, dass ein gültiger SPN erstellt und dem korrekten NLB-Clusternamen zugeordnet wurde.

So konfigurieren Sie die Kerberos-Authentifizierung für Verwaltungspunkte, die in einem Lastenausgleichscluster konfiguriert sind

  1. Fügen Sie der lokalen Gruppe „Administrator“ auf jedem als Teil des NLB-Cluster konfigurierten Standortsystem das Domänenbenutzerkonto hinzu, das als IIS-Anwendungspool-Dienstkonto für das Standortsystem konfiguriert wird.

  2. Fügen Sie der lokalen Gruppe „IIS_WPG“ auf jedem als Teil des NLB-Cluster konfigurierten Standortsystem das Domänenbenutzerkonto hinzu, das als IIS-Anwendungspool-Dienstkonto für das Standortsystem konfiguriert wird.

  3. Öffnen Sie die Internetinformationsdienste über die Programmgruppe Verwaltung im Menü „Start“.

  4. Erweitern Sie Anwendungspools im IIS-Manager.

  5. Klicken Sie mit der rechten Maustaste auf CCM Windows Auth Server Framework Pool, und klicken Sie dann auf Eigenschaften.

  6. Klicken Sie auf die Registerkarte Identität.

  7. Vergewissern Sie sich in der Optionsgruppe „Anwendungspoolidentität“, dass die Option Konfigurierbar aktiviert ist, und klicken Sie dann auf Durchsuchen, um das Domänenbenutzerkonto auszuwählen, das als IIS-Dienstkonto agieren soll. Geben Sie das Kennwort für das Konto in das Textfeld Kennwort ein.

  8. Klicken Sie auf OK. Geben Sie das Kennwort für das IIS-Dienstkonto im Dialogfeld Kennwort bestätigen erneut ein, und klicken Sie auf OK.

Siehe auch

Konzepte

Anforderungen an den Dienstprinzipalnamen in Configuration Manager