Dienstprinzipalnamen

Ein Dienstprinzipalname (SPN) ist ein eindeutiger Bezeichner einer Dienstinstanz. SPNs werden von der Kerberos-Authentifizierung verwendet, um eine Dienstinstanz einem Dienstanmeldungskonto zuzuordnen. Dadurch kann eine Clientanwendung anfordern, dass der Dienst ein Konto authentifiziert, auch wenn der Client nicht über den Kontonamen verfügt.

Wenn Sie mehrere Instanzen eines Diensts auf Computern innerhalb einer Gesamtstruktur installieren, muss jede Instanz über einen eigenen SPN verfügen. Eine Dienstinstanz kann mehrere SPNs aufweisen, falls mehrere Namen vorhanden sind, die von den Clients zur Authentifizierung verwendet werden können. Beispielsweise enthält ein SPN immer den Namen des Hostcomputers, auf dem die Dienstinstanz ausgeführt wird. Daher kann eine Dienstinstanz einen SPN für jeden Namen oder Alias des Hosts registrieren. Weitere Informationen zum SPN-Format und zum Verfassen eines eindeutigen SPN finden Sie unter Name Formats for Unique SPNs.

Bevor der Kerberos-Authentifizierungsdienst einen SPN zum Authentifizieren eines Diensts verwenden kann, muss der SPN für das Kontoobjekt registriert werden, das von der Dienstinstanz zum Anmelden verwendet wird. Ein gegebener SPN kann nur für ein Konto registriert werden. Für Win32-Dienste gibt ein Dienstinstallationsprogramm das Anmeldekonto an, wenn eine Instanz des Diensts installiert wird. Das Installationsprogramm erstellt dann die SPNs und schreibt sie als Eigenschaft des Kontoobjekts in Active Directory Domain Services. Wenn sich das Anmeldekonto einer Dienstinstanz ändert, müssen die SPNs unter dem neuen Konto erneut registriert werden. Weitere Informationen finden Sie unter How a Service Registers its SPNs.

Wenn ein Client eine Verbindung zu einem Dienst herstellen möchte, sucht er eine Instanz des Diensts, verfasst einen SPN für diese Instanz, stellt eine Verbindung zum Dienst her und übergibt den SPN zur Authentifizierung an den Dienst. Weitere Informationen finden Sie unter How Clients Compose a Service's SPN.

In diesem Abschnitt

Namenformate für eindeutige SPNs

So erstellt ein Dienst seine SPNs

So registriert ein Dienst seine SPNs

So verfassen Clients den SPN eines Diensts

Was ist ein SPN und warum sollten Sie sich kümmern?

Gegenseitige Authentifizierung mithilfe von Kerberos