Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Lo strumento da riga di comando setspn viene utilizzato per leggere, modificare ed eliminare la proprietà Nome del Principal del Servizio (SPN) della directory per un account di servizio di Active Directory (AD). Gli SPN sono essenziali per individuare un nome principale di destinazione associato a un servizio. Con setspnè possibile visualizzare i nomi SPN esistenti, reimpostare i nomi SPN predefiniti di un account e aggiungere o rimuovere altri NOMI SPN in base alle esigenze.
Non è necessario modificare manualmente i nomi SPN perché vengono configurati automaticamente quando un computer aggiunge un dominio o quando vengono installati i servizi. Tuttavia, le informazioni SPN possono diventare obsolete in alcuni casi. Ad esempio, se il nome di un computer cambia, i nomi SPN associati ai servizi devono essere aggiornati in modo che corrispondano al nuovo nome. Inoltre, alcuni servizi e applicazioni potrebbero richiedere aggiornamenti manuali alle impostazioni SPN di un account di servizio per garantire l'autenticazione corretta.
In AD l'attributo servicePrincipalName è un attributo multivalore e non collegato compilato dal nome host DNS (Domain Name System). I nomi SPN vengono usati per l'autenticazione reciproca tra il client e il server che ospita un servizio. Il client individua un account del computer usando l'SPN del servizio a cui sta tentando di connettersi.
Formato SPN
Quando si modificano gli SPN usando setspn, l'SPN deve essere immesso nel formato corretto. Il formato di un nome SPN è serviceclass/host:port/servicename, in cui ogni elemento rappresenta un nome o un valore. A meno che il nome del servizio e la porta non siano standard, non è necessario immetterli quando si usa setspn. Ad esempio, gli SPN predefiniti per un server denominato WSRV2022 che fornisce servizi di Desktop remoto (RDP) sulla porta predefinita TCP 3389 registrano i seguenti due SPN nel proprio oggetto computer AD.
TERMSRV/WSRV2022
TERMSRV/WSRV2022.contoso1.com
Se è necessario specificare una configurazione SPN non standard, vedere Formati dei Nomi per SPN Unici.
Prerequisiti
Il ruolo di Active Directory Domain Services (AD DS) deve essere installato sul dispositivo. Per saperne di più, consulta Installare o rimuovere ruoli, servizi ruolo o funzionalità.
I dispositivi nel tuo ambiente devono essere aggiunti a un dominio.
È necessario essere membri del gruppo domain admins o enterprise admins.
- Se non si è membri dei gruppi Domain Admins o Enterprise Admins, è necessario disporre delle autorizzazioni di lettura e scrittura per l'attributo
servicePrincipalNamedell'oggetto in Active Directory.
- Se non si è membri dei gruppi Domain Admins o Enterprise Admins, è necessario disporre delle autorizzazioni di lettura e scrittura per l'attributo
Gestire gli SPN
La configurazione dei nomi SPN nel tuo ambiente può essere eseguita usando un prompt dei comandi con privilegi elevati o una finestra di PowerShell con privilegi elevati. Vedere i seguenti passaggi per la configurazione degli SPN per il tuo ambiente.
Metodo del prompt dei comandi
Per aggiungere un SPN, eseguire il comando seguente. Sostituire servizio/nome con il nome SPN da aggiungere e nome host con il nome host dell'oggetto computer da aggiornare:
setspn -S <service/name> <hostname>
Ad esempio, se è presente un controller di dominio Active Directory con il nome host server1.contoso.com che richiede un SPN per LDAP (Lightweight Directory Access Protocol), digitare:
setspn -S ldap/server1.contoso.com server1
Metodo di PowerShell
In PowerShell il cmdlet Set-ADUser viene usato per gli account utente e Set-ADComputer per il nome del computer.
Per aggiungere un SPN, eseguire il comando seguente. Sostituire UserName, ComputerNamee $spn = " " con i valori appropriati per l'account utente o il nome computer:
$userID = "UserName"
$spn = "HTTP/webserver.domain.com"
Set-ADUser -Identity $userID -Add @{ServicePrincipalName=$spn}
$computerID = "ComputerName"
$spn = "HTTP/computerserver.domain.com"
Set-ADComputer -Identity $computerID -Add @{ServicePrincipalName=$spn}
Concedere autorizzazioni SPN a utenti non amministratori
Per gli utenti che non fanno parte del gruppo Domain Admins o Enterprise Admins, hanno bisogno delle autorizzazioni appropriate per modificare i nomi SPN. La concessione di queste autorizzazioni può essere eseguita tramite Utenti e computer di Active Directory (ADUC) o PowerShell. Vedere la procedura descritta di seguito.
In Server Managerselezionare strumenti e quindi selezionare Utenti e computer di Active Directory.
Selezionare la scheda Visualizzazione, quindi selezionare Funzionalità avanzate.
Nel pannello di sinistra, fare clic con il pulsante destro del mouse sul dominio in cui si desidera consentire uno spazio dei nomi separato, quindi selezionare Proprietà.
Selezionare la scheda Sicurezza, selezionare Avanzato.
Nella scheda Autorizzazioni selezionare Aggiungi.
Selezionare un'entità principale, sotto immettere i nomi degli oggetti da selezionare, digitare il nome dell'account utente o del gruppo a cui si vuole delegare l'autorizzazione, e poi selezionare OK.
Per visualizzare tutti i gruppi e gli account utente disponibili nel dominio, selezionare Advanced, quindi selezionare Trova ora.
In Si applica a, selezionare Oggetti Computer discendenti.
Sotto Autorizzazioni, seleziona la casella di controllo Convalida scrittura nel nome principale del servizio, quindi seleziona OK nelle tre finestre di dialogo aperte per applicare le modifiche.