Guide pratique pour configurer le spN

L’outil en ligne de commande setspn est utilisé pour lire, modifier et supprimer la propriété d’annuaire du nom de principal de service (SPN) d’un compte de service Active Directory (AD). Les spN sont essentiels pour localiser un nom de principal cible associé à un service. Avec setspn, vous pouvez afficher les SPN existants, réinitialiser les SPN par défaut d’un compte et ajouter ou supprimer des SPN supplémentaires en fonction des besoins.

Il n’est pas nécessaire de modifier manuellement les noms de principal de service, car ils sont automatiquement configurés lorsqu’un ordinateur joint un domaine ou quand des services sont installés. Toutefois, les informations SPN peuvent devenir obsolètes dans certains cas. Par exemple, si le nom d’un ordinateur change, les SPN liés à ses services doivent être mis à jour pour correspondre au nouveau nom. En outre, certains services et applications peuvent nécessiter des mises à jour manuelles des paramètres SPN d’un compte de service pour garantir une authentification appropriée.

Dans AD, l’attribut servicePrincipalName est un attribut à valeurs multiples et non liée généré à partir du nom d’hôte DNS (Domain Name System). Les spN sont utilisés pour l’authentification mutuelle entre le client et le serveur hébergeant un service. Le client localise un compte d’ordinateur à l’aide du SPN du service auquel il tente de se connecter.

SPN format

Lorsque vous modifiez des SPN à l’aide de setspn, le SPN doit être entré dans le format correct. The format of an SPN is serviceclass/host:port/servicename, in which each item represents a name or value. Sauf si le nom du service et le port ne sont pas standard, vous n’avez pas besoin de les entrer lorsque vous utilisez setspn. Par exemple, les SPN par défaut d’un serveur nommé WSRV2022 qui fournit des services RDP (Remote Desktop) sur le port par défaut TCP 3389 enregistre les deux SPN suivants dans son propre objet d’ordinateur AD :

TERMSRV/WSRV2022

TERMSRV/WSRV2022.contoso1.com

Si vous devez spécifier une configuration SPN non standard, consultez Formats de nom pour les spN uniques.

Prerequisites

• Le rôle Services de domaine Active Directory (AD DS) doit être installé sur votre appareil. Pour en savoir plus, consultez Installer ou désinstaller des rôles, services de rôle ou fonctionnalités.

• Les appareils de votre environnement doivent être joints à un domaine.

• You must be a member of the Domain Admins or Enterprise Admins group.

  • If you aren't a member of either the Domain Admins or Enterprise Admins groups, you must have read and write permissions on the servicePrincipalName attribute of the object in AD.

Manage SPNs

La configuration des SPN dans votre environnement peut être effectuée à l'aide d'une invite de commandes ou d'une fenêtre PowerShell élevée. Consultez les étapes suivantes pour configurer les SPN dans votre environnement.

Méthode d’invite de commandes

Add SPNs

Pour ajouter un SPN, exécutez la commande suivante. Replace service/name with the SPN you want to add and hostname with the host name of the computer object you want to update:

setspn -S <service/name> <hostname>

Par exemple, s’il existe un contrôleur de domaine AD avec le nom d’hôte server1.contoso.com qui nécessite un SPN pour le protocole LDAP (Lightweight Directory Access Protocol), tapez :

setspn -S ldap/server1.contoso.com server1

View SPNs

To display the SPNs registered to a computer in AD, run the following command, replacing hostname with the name of the computer object you want to query:

setspn –L <hostname>

Tip

To find the host name for a computer from a command prompt, type hostname, then press Enter.

The following example lists the SPNs of a domain controller (DC) named WSRV2022 in the Contoso1.com domain:

Registered ServicePrincipalNames for CN=WSRV2022,OU=Domain Controllers,DC=contoso1,DC=com:

ldap/WSRV2022.contoso1.com/ForestDnsZones.contoso1.com

ldap/WSRV2022.contoso1.com/DomainDnsZones.contoso1.com

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/WSRV2022.contoso1.com

DNS/WSRV2022.contoso1.com

GC/WSRV2022.contoso1.com/contoso1.com

HOST/WSRV2022.contoso1.com/CONTOSO1

HOST/WSRV2022

HOST/WSRV2022.contoso1.com

HOST/WSRV2022.contoso1.com/contoso1.com

E3514235-4B06-11D1-AB04-00C04FC2DCD2/70906edd-c8a5-4b7d-8198-4f970f7b9f52/contoso1.com

ldap/70906edd-c8a5-4b7d-8198-4f970f7b9f52.\_msdcs.contoso1.com

ldap/WSRV2022.contoso1.com/CONTOSO1

ldap/WSRV2022

ldap/WSRV2022.contoso1.com

ldap/WSRV2022.contoso1.com/contoso1.com

L’identificateur global unique (GUID) 70906edd-c8a5-4b7d-8198-4f970f7b9f52 identifie l’objet de paramètres NTDS du contrôleur de domaine, appelé NTDS-DSA, qui est unique pour chaque contrôleur de domaine. Les deux autres GUID, NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232 et E3514235-4B06-11D1-AB04-00C04FC2DCD2, identifient le service de réplication de fichiers (NTFRS) et le service de réplication d’annuaires (DRS) via l’appel de procédure distante (RPC), respectivement. Il s’agit de SPN standard pour tous les contrôleurs de domaine.

Reset SPNs

Si les spN que vous voyez pour votre serveur affichent ce qui semble être des noms incorrects, envisagez de réinitialiser l’ordinateur pour utiliser les noms spN par défaut. To reset the default SPN values, run the following command where hostname is the actual host name of the computer object that you want to update:

setspn -R <hostname>

Une fois que le SPN a été réinitialisé avec succès, une confirmation est fournie à l'invite de commandes.

Pour vérifier que les SPN s’affichent correctement, tapez :

setspn -L <hostname>

Remove SPNs

Pour supprimer un SPN, exécutez la commande suivante. Replace service/name with the SPN you want to remove and hostname with the host name of the computer object you want to update:

setspn -D <service/name> <hostname>

Par exemple, pour supprimer un SPN incorrect pour un service web sur un ordinateur nommé Server1.contoso.com, utilisez la commande suivante :

setspn -D http/server1.contoso.com server1

PowerShell method

Dans PowerShell, l’applet de commande Set-ADUser est utilisée pour les comptes d’utilisateur et les Set-ADComputer pour le nom de l’ordinateur.

Add SPNs

Pour ajouter un SPN, exécutez la commande suivante. Remplacez UserName, ComputerNameet $spn = " " par les valeurs appropriées pour le compte d’utilisateur ou le nom de l’ordinateur :

$userID = "UserName"
$spn = "HTTP/webserver.domain.com"

Set-ADUser -Identity $userID -Add @{ServicePrincipalName=$spn}

$computerID = "ComputerName"
$spn = "HTTP/computerserver.domain.com"

Set-ADComputer -Identity $computerID -Add @{ServicePrincipalName=$spn}

View SPNs

Pour afficher la liste des SPN à partir d’un compte d’utilisateur ou d’un nom d’ordinateur, exécutez la commande suivante :

Get-ADUser -Identity UserName -Properties ServicePrincipalName | Select-Object -ExpandProperty ServicePrincipalName

Get-ADComputer -Identity ComputerName -Properties ServicePrincipalName | Select-Object -ExpandProperty ServicePrincipalName

Reset SPNs

Pour supprimer un SPN d’un compte d’utilisateur ou d’un nom d’ordinateur, exécutez la commande suivante :

Set-ADUser -Identity UserName -ServicePrincipalNames @{Replace="NewSPNValue"}

Set-ADComputer -Identity ComputerName -ServicePrincipalNames @{Replace="NewSPNValue"}

Remove SPNs

Pour supprimer un SPN d’un compte d’utilisateur ou d’un nom d’ordinateur, exécutez la commande suivante :

Set-ADUser -Identity UserName -ServicePrincipalNames @{Remove="SPNValue"}

Set-ADComputer -Identity ComputerName -ServicePrincipalNames @{Remove="SPNValue"}

Accorder des autorisations SPN aux non-administrateurs

Pour les utilisateurs qui ne font pas partie du groupe Administrateurs de domaine ou Administrateurs d’entreprise, ils ont besoin des autorisations appropriées pour modifier les noms de principal de service. L’octroi de ces autorisations peut être effectué via Les utilisateurs et ordinateurs Active Directory (ADUC) ou PowerShell. Regardez les étapes suivantes.

ADUC

1. In Server Manager, select Tools, then select Active Directory Users and Computers.

2. Select the View tab, then select Advanced Features.

3. In the left pane, right-click on the domain where you want to allow a disjoint namespace, then select Properties.

4. Select the Security tab, select Advanced.

5. Under the Permissions tab, select Add.

6. Sélectionnez Sélectionnez un principal, sous Entrez les noms d’objets pour sélectionner, tapez le nom du groupe ou du compte d’utilisateur auquel vous souhaitez déléguer l’autorisation, puis sélectionnez OK.

   To view all available groups and user accounts in your domain, select Advanced, then select Find Now.

7. Under Applies to, select Descendant Computer objects.

8. Under Permissions, select Validated write to service principal name checkbox, then select OK on the three open dialog boxes to apply your changes.

PowerShell

Exécutez la commande suivante pour accorder les autorisations appropriées pour le compte d’utilisateur ou le nom de l’ordinateur :

$userDN = (Get-ADUser -Identity UserName).DistinguishedName

& dsacls.exe $userDN /G "MyDomain\UserName:CA;servicePrincipalName"

$computerDN = (Get-ADComputer -Identity ComputerName).DistinguishedName

& dsacls.exe $computerDN /G "MyDomain\UserName:CA;servicePrincipalName"

See also

• Noms principaux de service

• Les connexions au service échouent en raison de noms principaux de service (SPN) incorrectement configurés

• Référence de commande SetSPN