Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Befehlszeilenprogramm setspn liest, ändert und löscht die Dienstprinzipalnamen (SPN)-Verzeichniseigenschaft für ein Active Directory(AD)-Dienstkonto. Sie verwenden SPNs, um einen Zielprinzipalnamen für die Ausführung eines Diensts zu finden. Sie können setspn verwenden, um die aktuellen SPNs anzuzeigen, die Standard-SPNs des Kontos zurückzusetzen und ergänzende SPNs hinzuzufügen oder zu löschen.
Setspn ist verfügbar, wenn die Active Directory Domain Services (AD DS)-Serverrolle installiert ist.
Setspn muss über eine Eingabeaufforderung mit erhöhten Rechten ausgeführt werden.
Syntax
setspn <modifiers switch> <accountname> [-R] [-S] [-D] [-L] [-C] [-U] [-Q] [-X] [-P] [-F] [-T] [-?] [/?]
Hinweis
Der <Kontoname> kann der Computername oder die Domäne\name des Zielcomputers oder eines Benutzerkontos sein. Sie können setspn -A ausführen, um SPNs hinzuzufügen, aber Sie sollten stattdessen setspn -S verwenden, da sichergestellt wird, dass keine doppelten SPNs vorhanden sind.
Die Parameter
| Die Parameter | BESCHREIBUNG |
|---|---|
<accountname> |
Gibt das gewünschte AD-Kontoobjekt an, für das der SPN konfiguriert werden soll. Normalerweise ist der SPN der NetBIOS-Name des Computers und optional die Domäne, die das Computerkonto enthält. Jeder gewünschte AD-Objektname kann jedoch verwendet werden. |
-R |
Setzt die standardmäßigen SPN-Registrierungen für die Hostnamen für den Computer zurück. |
-S |
Fügt den angegebenen SPN für den Computer hinzu, nachdem sichergestellt wurde, dass keine Duplikate vorhanden sind. |
-D |
Löscht den angegebenen SPN für den Computer. |
-L |
Listet den aktuell registrierten SPN für den Computer auf. |
-C |
Gibt an, dass accountname ein Computerkonto ist. |
-U |
Gibt an, dass accountname ein Benutzerkonto ist. |
-Q |
Fragt nach vorhandenen SPNs ab. |
-X |
Führt eine Suche nach doppelten SPNs aus. |
-P |
Unterdrückt den Fortschritt der Konsole und kann verwendet werden, wenn die Ausgabe an eine Datei umgeleitet wird oder wenn sie in einem unbeaufsichtigten Skript verwendet wird. Es wird keine Ausgabe angezeigt, bis der Befehl abgeschlossen ist. |
-F |
Führt Abfragen auf Gesamtstruktur und nicht auf Domänenebene durch. |
-T |
Führt eine Abfrage für die angegebene Domäne (oder Gesamtstruktur aus, wenn -F verwendet wird). |
-? oder /? |
Zeigt die Befehlszeilenhilfeinformationen an. Wenn Sie setspn ohne diesen Parameter ausführen, werden auch die Befehlszeilenhilfeinformationen angezeigt. |
Hinweis
-C und -U sind exklusiv. Wenn keines angegeben ist, interpretiert das Tool accountname als Computernamen, wenn ein solcher Computer vorhanden ist, und einen Benutzernamen, wenn er nicht vorhanden ist.
Bemerkungen
Modifizierer für den Abfragemodus können mit dem Schalter -S verwendet werden, um anzugeben, wo die Überprüfung auf Duplikate ausgeführt werden soll, bevor sie den SPN hinzufügen.
-Tkönnen mehrmals angegeben werden. Um die aktuelle Domäne oder eine Gesamtstruktur anzugeben, verwenden Sie""oder*.-Qwird für jede Zieldomäne oder Gesamtstruktur ausgeführt.-Xgibt Duplikate zurück, die für alle Ziele vorhanden sind. SPNs müssen nicht in Gesamtstrukturen eindeutig sein, aber doppelte SPNs können Authentifizierungsprobleme während der gesamtstrukturübergreifenden Authentifizierung verursachen.SPNs müssen mithilfe des Basisnamens des Kontos erstellt werden, das als Kontoname Parameter angegeben ist. Wenn diese Bedingung nicht erfüllt ist, gibt der Verzeichnisdienst einen Einschränkungsverletzungsfehler zurück.
Möglicherweise haben Sie nicht die Rechte, auf diese Eigenschaft für einige Kontoobjekte zuzugreifen oder sie zu ändern. Sie können bestimmen, was Ihre Zugriffsrechte sind, indem Sie die Sicherheitsattribute des Kontoobjekts mithilfe der Microsoft Management Console (MMC) in Active Directory-Benutzern und -Computern anzeigen. Sie können die Berechtigung auch delegieren, indem Sie dem gewünschten Benutzer oder der gewünschten Gruppe die Berechtigung "Überprüfter Schreibzugriff auf Dienstprinzipalname" zuweisen.
Die integrierten SPNs, die für Computerkonten erkannt werden, sind:
alerter eventlog netlogon rpc snmp
appmgmt eventsystem netman rpclocator spooler
browser fax nmagent rpcss tapisrv
cifs http oakley rsvp time
cisvc ias plugplay samss trksvr
clipsrv iisadmin policyagent scardsvr trkwks
dcom messenger protectedstorage scesrv ups
dhcp msiserver rasman schedule w3svc
dmserver mcsvc remoteaccess scm wins
dns netdde replicator seclogon www
dnscache netddedsm
Diese SPNs werden für Computerkonten erkannt, wenn der Computer über einen Host-SPN verfügt. Sofern sie nicht explizit auf Objekte platziert werden, kann ein Host-SPN durch einen der erwähnten SPNs ersetzt werden.
SPNs beachten die Groß-/Kleinschreibung nicht, wenn sie von Microsoft Windows-basierten Computern verwendet wird. Jeder Computersystemtyp kann einen SPN verwenden. Viele dieser Computersysteme, insbesondere UNIX-basierte Systeme, sind groß- und kleinschreibungsempfindlich und erfordern die ordnungsgemäße Funktion der Groß-/Kleinschreibung. Achten Sie darauf, den richtigen Fall zu verwenden, insbesondere, wenn ein SPN von einem nicht windowsbasierten Computer verwendet wird.
Beispiele
Wenn Sie alle registrierten SPNs für ein Konto auflisten möchten, geben Sie Folgendes ein:
setspn -L <accountname>
Um die SPNs für ein Computerkonto zurückzusetzen, geben Sie Folgendes ein:
setspn -R <accountname>
Um den SPN http/MyServer- für benutzerkonto User01zu registrieren, geben Sie Folgendes ein:
setspn -U -S http/MyServer User01
Wenn Sie einem Domänenkonto, für das kein Satz vorhanden ist, einen neuen SPN hinzufügen möchten, geben Sie Folgendes ein:
setspn -S http/myserver.mydomain.com myDomain\myServer
Um einen SPN aus einem Konto zu entfernen, geben Sie Folgendes ein:
setspn -D http/myserver.mydomain.com myDomain\myServer
Um alle doppelten SPNs in Ihrer Domäne und die contoso Domäne abzufragen, geben Sie Folgendes ein:
setspn -T * -T contoso -X
Um alle SPNs zu finden, die MyServer in der contoso Domänenstruktur registriert sind, geben Sie Folgendes ein:
setspn -T contoso -F -Q */MyServer