Настройка SPN для систем сайта точки управления балансировкой сетевой нагрузки
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Последнее обновление раздела: август 2007 г.
Если системы сайта точки управления настроены в кластерах балансировки сетевой нагрузки (NLB-кластерах) на сайтах, работающих в смешанном режиме, с запущенным пулом приложений веб-сайта IIS для веб-сайта системы сайта, использование локальной системной учетной записи компьютера системы сайта не позволит клиентам проверить подлинность системы сайта по протоколу Kerberos. Если системы сайта настроены в NLB-кластере, учетная запись пользователя домена должна быть настроена для запуска соответствующих пулов приложений веб-сайта IIS для систем сайта.
Важно!
Настройка имени участника-службы (SPN) для систем сайта точки управления, настроенных в кластерах балансировки сетевой нагрузки, не требуется для сайтов, работающих в основном режиме.
Чтобы использовать Kerberos в качестве протокола проверки подлинности, удостоверение пула приложений на пуле приложений IIS для системы сайта должно быть настроено для использования учетной записи пользователя домена и имени участника-службы, зарегистрированного для учетной записи в доменных службах Active Directory. Чтобы зарегистрировать имя участника-службы для учетной записи пользователя домена, настроенной для запуска пула приложений IIS для систем NLB-сайта, можно воспользоваться служебной программой SetSPN. Программу SetSPN нужно запустить на компьютере, который находится в домене сервера сайта, используя учетные данные администратора домена. Чтобы с помощью служебной программы SetSPN правильно настроить имя участника-службы для систем сайта, настроенных для балансировки сетевой нагрузки, выполните действия из описанных ниже процедур.
Примечание
Прежде чем использовать служебную программу SetSPN или открывать консоль управления ADSIEdit, необходимо установить средства поддержки Microsoft Windows Server. Эти средства содержатся в папке средств поддержки на обоих компакт-дисках Windows 2000 Server и Windows Server 2003. Чтобы установить средства поддержки Windows Server, перейдите в папку \SUPPORT\TOOLS\ на установочном компакт-диске для сервера и запустите файл suptools.msi.
Создание имени участника-службы (SPN) пользователя домена для служебной учетной записи пула приложений IIS вручную
Нажмите кнопку Пуск, выберите пункт Выполнить и введите cmd в диалоговом окне Запуск программы.
Из командной строки перейдите в каталог установки средств поддержки Windows Server. По умолчанию эти средства находятся в каталоге C:\Program Files\Support Tools.
Введите допустимую команду для создания имени участника-службы. Команда должна быть введена в формате Setspn –A HTTP/<имя NLB-кластера> <domain\username>.
Убедитесь в правильности выполнения команды, просмотрев ее выходные данные для строки обновленного объекта.
Проверка правильности регистрации имени участника-службы с помощью консоли управления ADSIEdit
Создайте или выберите учетную запись пользователя домена, которая будет использоваться в качестве учетной записи службы IIS.
Чтобы запустить консоль управления ADSIEdit, нажмите кнопку Пуск, выберите пункт Выполнить и введите adsiedit.msc.
При необходимости подключитесь к домену сервера сайта.
В области консоли последовательно разверните узлы домена сервера сайта, DC=<различающееся имя сервера>, CN=Пользователи и щелкните правой кнопкой мыши CN=<Пользователь учетной записи службы>. В контекстном меню выберите пункт Свойства.
В диалоговом окне CN=Свойства <пользователя учетной записи службы> проверьте значение servicePrincipalName, чтобы убедиться в том, что допустимое имя участника-службы было создано и связано с именем нужного NLB-кластера.
Настройка проверки подлинности Kerberos для точек управления, настроенных в кластере балансировки нагрузки
Добавьте учетную запись пользователя домена, которая будет настраиваться в качестве служебной учетной записи пула приложений IIS для системы сайта, в локальную группу администраторов на каждой системе сайта, настроенной как часть NLB-кластера.
Добавьте учетную запись пользователя домена, которая будет настраиваться в качестве служебной учетной записи пула приложений IIS для системы сайта, в локальную группу IIS_WPG на каждой системе сайта, настроенной как часть NLB-кластера.
Откройте Службы IIS из группы программ главного меню Администрирование.
Разверните в диспетчере служб IIS узел Пулы приложений.
Щелкните правой кнопкой мыши пул приложений CCM Windows Auth Server Framework Pool и выберите пункт Свойства.
Откройте вкладку Удостоверение.
Убедитесь, что в группе переключателей удостоверения пула приложений выбрано значение Настраиваемая и нажмите кнопку Обзор, чтобы выбрать созданную учетную запись пользователя домена для использования в качестве учетной записи службы IIS. В текстовое поле Пароль введите пароль для учетной записи.
Нажмите кнопку ОК. В диалоговом окне Подтверждение пароля повторно введите пароль учетной записи службы IIS и нажмите кнопку ОК.
См. также
Основные понятия
Требования к именам участников-служб в Configuration Manager