Formats de nom pour les noms de spn uniques

Un SPN doit être unique dans la forêt dans laquelle il est inscrit. Si elle n’est pas unique, l’authentification échoue. La syntaxe SPN comporte quatre éléments : deux éléments obligatoires et deux éléments supplémentaires que vous pouvez utiliser, si nécessaire, pour produire un nom unique, comme indiqué dans le tableau suivant.

<service class>/<host>:<port>/<service name>
Élément Description
« <classe de> service » Chaîne qui identifie la classe générale de service ; par exemple, « SqlServer ». Il existe des noms de classes de service connus, tels que « www » pour un service web ou « ldap » pour un service d’annuaire. En général, il peut s’agir de n’importe quelle chaîne unique à la classe de service. N’oubliez pas que la syntaxe SPN utilise une barre oblique (/) pour séparer des éléments, de sorte que ce caractère ne peut pas apparaître dans un nom de classe de service.
«< hôte> » Nom de l’ordinateur sur lequel le service s’exécute. Il peut s’agir d’un nom DNS complet ou d’un nom NetBIOS. Sachez qu'il n'existe aucune garantie que les noms NetBIOS soient uniques dans une forêt ; par conséquent, un SPN qui contient un nom NetBIOS peut ne pas être unique.
« <port> » Numéro de port facultatif permettant de différencier plusieurs instances de la même classe de service sur un seul ordinateur hôte. Omettez ce composant si le service utilise le port par défaut pour sa classe de service.
«< nom du> service » Nom facultatif utilisé dans les SPN d’un service réplicable pour identifier les données ou les services fournis par le service ou le domaine pris en charge par le service. Ce composant peut avoir l’un des formats suivants :
  • Nom unique ou objectGUID d’un objet dans services de domaine Active Directory, tel qu’un point de connexion de service (SCP).
  • Nom DNS du domaine d’un service qui fournit un service spécifié pour un domaine dans son ensemble.
  • Nom DNS d’un enregistrement SRV ou MX.

 

Les composants présents dans les SPN d’un service dépendent de la façon dont le service est identifié et répliqué. Il existe deux scénarios de base : les services basés sur l’hôte et les services réplicables.

Services basés sur l’hôte

Pour un service basé sur l’hôte, le composant «< nom> du service » est omis, car le service est identifié de manière unique par la classe de service et le nom de l’ordinateur hôte sur lequel le service est installé.

<service class>/<host>

La classe de service suffit à elle seule pour identifier pour les clients les fonctionnalités fournies par le service. Vous pouvez installer des instances de la classe de service sur de nombreux ordinateurs et chaque instance fournit des services identifiés à son ordinateur hôte. FTP et Telnet sont des exemples de services basés sur l’hôte. Les noms de service d’un service basé sur l’hôte instance peuvent inclure le numéro de port si le service utilise un port autre que celui par défaut ou s’il existe plusieurs instances du service sur l’hôte.

<service class>/<host>:<port>

Services réplicables

Pour un service réplicable, il peut y avoir une ou plusieurs instances du service (réplicas), et les clients ne différencient pas les réplica auxquels ils se connectent, car chacune fournit le même service. Les SPN de chaque réplica ont les mêmes composants «< classe> de service » et «< nom> du service », où «< nom> du service » identifie plus spécifiquement les fonctionnalités fournies par le service. Seuls les composants «< hôte> » et «< port> » facultatifs varient d’un SPN à l’autre.

<service class>/<host>:<port>/<service name>

Un exemple de service réplicable serait une instance d’un service de base de données qui fournit l’accès à une base de données spécifiée. Dans ce cas, «< classe de> service » identifie l’application de base de données et «< nom> du service » identifie la base de données spécifique. «< nom> du service » peut être le nom unique d’un point de connexion de service (SCP) contenant des données de connexion pour la base de données.

MyDBService/host1.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3.example.com/CN=hrdb,OU=mktg,DC=example,DC=com

Si les clients utilisent le nom NetBIOS pour composer le SPN d’un service, chaque réplica doit également inscrire un SPN contenant le nom NetBIOS.

MyDBService/host1/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3/CN=hrdb,OU=mktg,DC=example,DC=com

Un autre exemple de service réplicable est celui qui fournit des services à un domaine entier. Dans ce cas, le composant «< nom> du service » est le nom DNS du domaine pris en charge. Un KDC Kerberos est un exemple de ce type de service réplicable.

N’oubliez pas que si le nom DNS d’un ordinateur change, le système met à jour l’élément «< host> » pour tous les SPN inscrits pour cet hôte dans la forêt.