Partager via

Comment configurer un nom principal de service (SPN) pour les systèmes de site de point de gestion NLB

  • Article

Mis à jour: avril 2011

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Dernière mise à jour de la rubrique -- Août 2007

Lorsque des systèmes de site du point de gestion sont configurés dans des clusters d'équilibrage de la charge réseau (NLB) de sites en mode mixte, l'exécution du pool d'applications de site Web IIS (Internet Information Services) à l'aide du compte système local de l'ordinateur de système de site n'autorise pas les clients à authentifier le système de site avec l'authentification Kerberos. Lorsque des systèmes de site sont configurés dans un cluster NLB, un compte d'utilisateur de domaine doit être configuré pour exécuter le pool d'applications de site Web IIS pertinent pour les systèmes de site.

Important

La configuration d'un nom principal de service (SPN) pour les systèmes de site du point de gestion configurés en clusters NLB n'est pas obligatoire pour les sites fonctionnant en mode natif.

Pour utiliser Kerberos comme protocole d'authentification, l'identité du pool d'applications sur le pool d'applications IIS pour le système de site doit être configurée pour l'utilisation d'un compte d'utilisateur de domaine et d'un SPN inscrit auprès des services de domaine Active Directory pour le compte. L'utilitaire SetSPN permet d'inscrire un SPN pour le compte d'utilisateur de domaine afin d'exécuter un pool d'applications IIS pour les systèmes de site NLB. L'utilitaire SetSPN doit être exécuté à l'aide des informations d'identification d'un administrateur de domaine sur un ordinateur résidant sur le domaine du serveur de site. Pour configurer correctement un SPN pour des systèmes de site configurés pour l'équilibrage de la charge réseau à l'aide de l'utilitaire SetSPN, procédez comme suit.

Notes

Pour utiliser l'utilitaire SetSPN ou pour ouvrir une console MMC ADSIEdit, vous devez d'abord installer les outils de support de Microsoft Windows Server. Ces outils sont disponibles sur les CD d'installation de Windows 2000 Server et de Windows Server 2003, dans le dossier des outils de support. Pour installer les outils de support de Windows Server, accédez à \SUPPORT\TOOLS\ sur le CD d'installation du serveur et exécutez le fichier suptools.msi.

Pour créer manuellement un nom principal de service (SPN) d'utilisateur de domaine pour le compte de service du pool d'applications IIS

  1. Cliquez sur Démarrer, puis sur Exécuter et entrez cmd dans la boîte de dialogue Exécuter.

  2. À partir de la ligne de commande, accédez au répertoire d'installation des outils de support de Windows Server. Par défaut, ces outils se trouvent dans le répertoire C:\Program Files\Support Tools.

  3. Entrez une commande valide pour créer le SPN. Le format de la commande doit être le suivant : Setspn –A HTTP/<nom du cluster NLB> <domaine\nomutilisateur>

  4. Vérifiez que l'exécution de la commande a abouti : consultez la sortie pour la ligne d'objet mise à jour.

Pour vérifier que le SPN est correctement inscrit à l'aide de la console ADSIEdit MMC

  1. Créez ou sélectionnez un compte d'utilisateur de domaine à utiliser comme compte de service IIS.

  2. Cliquez sur Démarrer, sur Exécuter, puis entrez adsiedit.msc pour démarrer la console MMC ADSIEdit.

  3. Si nécessaire, connectez-vous au domaine du serveur de site.

  4. Dans le volet de la console, développez le domaine du serveur de site, développez DC =<nom de serveur unique>, développez CN=Utilisateurs, puis cliquez avec le bouton droit sur CN=<Utilisateur du compte de service>. Dans le menu contextuel, cliquez sur Propriétés.

  5. Dans la boîte de dialogue CN=<Utilisateur du compte de service> Propriétés, vérifiez la valeur NomPrincipalduservice pour vous assurer qu'un SPN valide a été créé et associé au nom de cluster NLB correspondant.

Pour configurer l'authentification Kerberos pour les points de gestion définis dans un cluster d'équilibrage de la charge

  1. Ajoutez le compte d'utilisateur de domaine à configurer comme compte de service du pool d'applications IIS pour le système de site au groupe administrateur local de chaque système de site configuré comme élément du cluster NLB.

  2. Ajoutez le compte d'utilisateur de domaine à configurer comme compte de service du pool d'applications IIS pour le système de site sur le groupe IIS_WPG local de chaque système de site configuré comme un élément du cluster NLB.

  3. Ouvrez Services Internet (IIS) depuis le groupe de programmes Outils d'administration du menu Démarrer.

  4. Développez Pools d'applications dans le Gestionnaire IIS.

  5. Cliquez avec le bouton droit sur CCM Windows Auth Server Framework Pool, puis cliquez sur Propriétés.

  6. Cliquez sur l'onglet Identité.

  7. Dans le groupe d'options d'identité du pool d'applications, vérifiez que Configurable est sélectionné, puis cliquez sur Parcourir pour sélectionner le compte d'utilisateur de domaine créé pour servir de compte de service IIS. Entrez le mot de passe pour le compte dans la zone de texte Mot de passe.

  8. Cliquez sur OK. Entrez à nouveau le mot de passe du compte de service IIS dans la boîte de dialogue Confirmer le mot de passe, puis cliquez sur OK.

Voir aussi

Concepts

Spécifications du nom principal de service pour Configuration Manager