Fingki 's Blog

要使用 Kerberos 身份驗(yàn)證，某種服務(wù)必須注冊其名稱（稱為服務(wù)主體名稱 (SPN)），以及運(yùn)行該服務(wù)所使用的帳戶。默認(rèn)情況下，Active Directory® 目錄服務(wù)注冊 NetBIOS 或者計(jì)算機(jī)名，并允許計(jì)算機(jī)帳戶使用 Kerberos。如果要以不同帳戶或使用不同名稱（例如，如果計(jì)算機(jī)使用其他的 WINS 或 DNS 名）運(yùn)行服務(wù)，那么您可以使用 Setspn.exe 命令行工具設(shè)置 SPN。要設(shè)置 SPN，您必須是域管理員。
Setspn.exe 命令行實(shí)用程序可以在 Windows Server 2003 CD-ROM 內(nèi)的支持工具包中獲得。在window2003中可以運(yùn)行support tools中的suptools.msi來安裝。

使用 Setspn.exe

下面是使用 Setspn.exe 命令行實(shí)用程序的基本語法，其中“accountname”可以是單獨(dú)的名稱，也可以是域\名稱。

setspn [parameter] accountname

Setspn.exe 可以使用下列參數(shù)：

參數(shù)	功能	示例
-R	重置 HOST ServicePrincipalName。	setspn -R computername
-A	添加任意的 SPN。	setspn -A SPN computername
-D	刪除任意的 SPN。	setspn -D SPN computername
-L	列出已注冊的 SPN。	setspn -L SPN computername

下面的示例使用 Setspn.exe 命令行實(shí)用程序注冊以 Domain\UserAccount 運(yùn)行的應(yīng)用程序池：

SETSPN.EXE -A HOST/<your computer name> Domain\UserAccount

下面的示例注冊 SPN“HOST/daserver1”和“HOST/{DNS of daserver1}”：

setspn -R daserver1

下面的示例為計(jì)算機(jī)“daserver1”注冊 SPN“http/daserver”：

setspn -A http/daserver daserver1

下面的示例從計(jì)算機(jī)“daserver1”刪除 SPN“http/daserver”：

setspn -D http/daserver daserver1