Dienstprinzipalnamen
Ein Dienstprinzipalname (Service Principal Name, SPN) ist ein eindeutiger Bezeichner eines Diensts instance. Die Kerberos-Authentifizierung verwendet SPNs, um einen Dienst instance einem Dienstanmeldungskonto zuzuordnen. Dadurch kann eine Clientanwendung die Dienstauthentifizierung für ein Konto anfordern, auch wenn der Client nicht über den Kontonamen verfügt.
Wenn Sie mehrere Instanzen eines Diensts auf Computern innerhalb einer Gesamtstruktur installieren, muss jede Instanz über einen eigenen SPN verfügen. Wenn mehrere Namen vorhanden sind, die Clients für die Authentifizierung verwenden können, kann ein Dienst instance mehrere SPNs aufweisen. Da z. B. ein SPN immer den Namen des Hostcomputers enthält, auf dem der Dienst instance ausgeführt wird, kann ein Dienst instance mehrere SPNs registrieren, eines für jeden Namen oder Alias seines Hosts. Weitere Informationen zum SPN-Format und zum Erstellen eines eindeutigen SPN finden Sie unter Namensformate für eindeutige SPNs.
Bevor der Kerberos-Authentifizierungsdienst einen SPN zum Authentifizieren eines Diensts verwenden kann, muss der SPN für das Kontoobjekt registriert werden, das der Dienst instance für die Anmeldung verwendet. Ein bestimmter SPN kann nur für ein Konto registriert werden. Für Win32-Dienste gibt ein Dienstinstallationsprogramm das Anmeldekonto an, wenn eine instance des Diensts installiert wird. Das Installationsprogramm erstellt dann die SPNs und schreibt sie als Eigenschaft des Kontoobjekts in Active Directory Domain Services. Wenn sich das Anmeldekonto eines Diensts ändert instance, müssen die SPNs unter dem neuen Konto erneut registriert werden. Weitere Informationen finden Sie unter Registrieren seiner SPNs durch einen Dienst.
Wenn ein Client eine Verbindung zu einem Dienst herstellen möchte, sucht er eine Instanz des Diensts, verfasst einen SPN für diese Instanz, stellt eine Verbindung zum Dienst her und übergibt den SPN zur Authentifizierung an den Dienst. Weitere Informationen finden Sie unter So erstellen Clients den SPN eines Diensts.
In diesem Abschnitt
Dieser Abschnitt umfasst die folgenden Artikel:
- Namensformate für eindeutige SPNs
- So erstellt ein Dienst seine SPNs
- Registrieren seiner SPNs durch einen Dienst
- So erstellen Clients den SPN eines Diensts
Siehe auch
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für