我在博客上找到了几个参考资料(见下文),setspn.exe 实用程序应该从域中的客户端或服务器计算机运行,而不是从域控制器本身运行。
http://www.petri.co.il/how-to-use-setspn-to-set-active-directory-service-principal-names-2.htm http://blogs.msdn.com/b/russmax/archive/2009/10/20/configuring-kerberos-authentication-in-sharepoint-2010-part-1.aspx
这是什么原因?如果我在域控制器上运行 setspn.exe 会发生什么?我问这个问题是因为我设置的 SPN 过一会儿就消失了。
答案1
我不知道为什么他们这么说过,或者曾经这么说过,但我不认为这有效,至少现在不再有效,或者不适用于一般情况。
事实上,有关为 SQL Server 2014 报表服务器注册 SPN 的 MSDN 文档明确指示您登录到域控制器来运行setspn
。
答案2
可能是因为对 DC 性能的实际或想象的影响: http://blogs.technet.com/b/askds/archive/2013/07/01/interesting-findings-on-setspn-xf.aspx
... 但我找不到“这会让 AD 变得无聊”的推荐理由。