通常,当您为 IIS 设置 Kerberos 时,您会执行类似 的操作setspn -A HTTP/machine some_account
。安装 IIS 7 后,它会注册 SPN“HOST/machine”以进行内核模式身份验证。为什么这样做有效?“HOST”是否是某种在没有注册特定于协议(例如“HTTP”)的 SPN 时匹配的万能 SPN?因为客户端仍会在其 TGT 请求中指定 HTTP SPN,对吗?
(抱歉,如果这是一个简单的问题,“HOST”对于谷歌来说是一个很难搜索到的术语)
答案1
HOST 是多个 SPN 的集合。这些 SPN 由 ADSIEdit.msc 中 AD 中的 CN=Directory Service、CN=Windows NT、CN=Services、CN=Configuration、DC=MyDC、DC=com 字段 SPNmappings 决定
请参阅此网站了解更多信息重复 SPN 的问题 - 备用工作标题... KB321044++
所以我不会忘记:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com