Så här konfigurerar du SPN

2025-03-27
Gäller för: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Kommandoradsverktyget setspn används för att läsa, ändra och ta bort spN-katalogegenskapen (Service Principal Name) för ett Active Directory-tjänstkonto (AD). SPN:er är viktiga för att hitta ett målhuvudnamn som är associerat med en tjänst. Med setspnkan du visa befintliga SPN:er, återställa ett kontos standard-SPN och lägga till eller ta bort ytterligare SPN efter behov.

Det är inte nödvändigt att ändra SPN manuellt eftersom de konfigureras automatiskt när en dator ansluter till en domän eller när tjänster installeras. SPN-information kan dock bli inaktuell i vissa fall. Om en dators namn till exempel ändras måste de SPN:er som är knutna till dess tjänster uppdateras för att matcha det nya namnet. Dessutom kan vissa tjänster och program kräva manuella uppdateringar av ett tjänstkontos SPN-inställningar för att säkerställa korrekt autentisering.

I AD är attributet servicePrincipalName ett flervärdesattribut som inte är länkat från DNS-värdnamnet (Domain Name System). SPN används för ömsesidig autentisering mellan klienten och servern som är värd för en tjänst. Klienten letar upp ett datorkonto med hjälp av SPN för den tjänst som den försöker ansluta till.

SPN-format

När du ändrar SPN med setspnmåste SPN anges i rätt format. Formatet för ett SPN är serviceclass/host:port/servicename, där varje objekt representerar ett namn eller värde. Såvida inte tjänstnamnet och porten inte är standard behöver du inte ange dem när du använder setspn. Standard-SPN:erna för en server med namnet WSRV2022 som tillhandahåller fjärrskrivbordstjänster (RDP) via standardporten TCP 3389 registrerar till exempel följande två SPN i sitt eget AD-datorobjekt:

TERMSRV/WSRV2022

TERMSRV/WSRV2022.contoso1.com

Om du behöver ange en icke-standard-SPN-konfiguration kan du läsa Namnformat för unika SPN-.

Förutsättningar

Rollen Active Directory Domain Services (AD DS) måste vara installerad på enheten. Mer information finns i Installera eller avinstallera roller, rolltjänster eller funktioner.
Enheterna i din miljö måste vara domänanslutna.
Du måste vara medlem i gruppen Domänadministratörer eller Företagsadministratörer.
- Om du inte är medlem i grupperna Domänadministratörer eller Företagsadministratörer måste du ha läsa och skriva behörigheter för objektets servicePrincipalName attribut i AD.

Hantera SPN:er

Du kan konfigurera SPN i din miljö med en upphöjd kommandotolk eller ett upphöjt PowerShell-fönster. Se följande steg när du konfigurerar SPN för din miljö.

Metod för kommandotolken

Om du vill lägga till ett SPN kör du följande kommando. Ersätt tjänst/namn med det SPN som du vill lägga till och värdnamn med värdnamnet för det datorobjekt som du vill uppdatera:

setspn -S <service/name> <hostname>

Om det till exempel finns en AD DC med värdnamnet server1.contoso.com som kräver ett SPN för Lightweight Directory Access Protocol (LDAP) skriver du:

setspn -S ldap/server1.contoso.com server1

Om du vill visa DE SPN som är registrerade på en dator i AD kör du följande kommando och ersätter värdnamn med namnet på det datorobjekt som du vill fråga:

setspn –L <hostname>

Tips

Om du vill hitta värdnamnet för en dator från kommandotolken skriver du hostnameoch trycker sedan på Retur.

I följande exempel visas SPN:erna för en domänkontrollant (DC) med namnet WSRV2022 i domänen Contoso1.com:

Registered ServicePrincipalNames for CN=WSRV2022,OU=Domain Controllers,DC=contoso1,DC=com:

ldap/WSRV2022.contoso1.com/ForestDnsZones.contoso1.com

ldap/WSRV2022.contoso1.com/DomainDnsZones.contoso1.com

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/WSRV2022.contoso1.com

DNS/WSRV2022.contoso1.com

GC/WSRV2022.contoso1.com/contoso1.com

HOST/WSRV2022.contoso1.com/CONTOSO1

HOST/WSRV2022

HOST/WSRV2022.contoso1.com

HOST/WSRV2022.contoso1.com/contoso1.com

E3514235-4B06-11D1-AB04-00C04FC2DCD2/70906edd-c8a5-4b7d-8198-4f970f7b9f52/contoso1.com

ldap/70906edd-c8a5-4b7d-8198-4f970f7b9f52.\_msdcs.contoso1.com

ldap/WSRV2022.contoso1.com/CONTOSO1

ldap/WSRV2022

ldap/WSRV2022.contoso1.com

ldap/WSRV2022.contoso1.com/contoso1.com

Den globalt unika identifieraren (GUID) 70906edd-c8a5-4b7d-8198-4f970f7b9f52 identifierar NTDS-inställningsobjektet för domänkontrollanten, som kallas NTDS-DSA, som är unikt för varje domänkontrollant. De andra två GUID:erna, NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232 och E3514235-4B06-11D1-AB04-00C04FC2DCD2, identifierar File Replication Service (NTFRS) respektive Directory Replication Service (DRS) för fjärrproceduranrop (RPC), och de är standard-SPN:er för alla domänkontrollanter.

Om SPN:erna som visas för servern visar vad som verkar vara felaktiga namn kan du överväga att återställa datorn för att använda standard-SPN:erna. Om du vill återställa standardvärdena för SPN kör du följande kommando där värdnamn är det faktiska värdnamnet för det datorobjekt som du vill uppdatera:

setspn -R <hostname>

När SPN har återställts visas bekräftelsen via kommandotolken.

Kontrollera att SPN:erna visas korrekt genom att skriva:

setspn -L <hostname>

Kör följande kommando för att ta bort ett SPN. Ersätt tjänst/namn med det SPN som du vill ta bort och värdnamn med värdnamnet för det datorobjekt som du vill uppdatera:

setspn -D <service/name> <hostname>

Om du till exempel vill ta bort ett felaktigt SPN för en webbtjänst på en dator med namnet Server1.contoso.comanvänder du följande kommando:

setspn -D http/server1.contoso.com server1

PowerShell-metod

I PowerShell används Set-ADUser-cmdleten för användarkonton och Set-ADComputer för datornamnet.

Om du vill lägga till ett SPN kör du följande kommando. Ersätt UserName, ComputerNameoch $spn = " " med lämpliga värden för användarkontot eller datornamnet:

$userID = "UserName"
$spn = "HTTP/webserver.domain.com"

Set-ADUser -Identity $userID -Add @{ServicePrincipalName=$spn}

$computerID = "ComputerName"
$spn = "HTTP/computerserver.domain.com"

Set-ADComputer -Identity $computerID -Add @{ServicePrincipalName=$spn}

Kör följande kommando för att se en lista över SPN:er från ett användarkonto eller datornamn:

Get-ADUser -Identity UserName -Properties ServicePrincipalName | Select-Object -ExpandProperty ServicePrincipalName

Get-ADComputer -Identity ComputerName -Properties ServicePrincipalName | Select-Object -ExpandProperty ServicePrincipalName

Kör följande kommando för att ta bort ett SPN från ett användarkonto eller datornamn:

Set-ADUser -Identity UserName -ServicePrincipalNames @{Replace="NewSPNValue"}

Set-ADComputer -Identity ComputerName -ServicePrincipalNames @{Replace="NewSPNValue"}

Kör följande kommando för att ta bort ett SPN från ett användarkonto eller datornamn:

Set-ADUser -Identity UserName -ServicePrincipalNames @{Remove="SPNValue"}

Set-ADComputer -Identity ComputerName -ServicePrincipalNames @{Remove="SPNValue"}

Bevilja SPN-behörigheter till icke-administratörer

För användare som inte ingår i gruppen Domänadministratörer eller Företagsadministratörer behöver de rätt behörigheter för att ändra SPN:erna. Att bevilja dessa behörigheter kan utföras via Active Directory-användare och datorer (ADUC) eller PowerShell. Se följande steg.

ADUC
PowerShell

I Serverhanterarenväljer du Verktygoch väljer sedan Active Directory-användare och datorer.
Välj fliken Visa och välj sedan Avancerade funktioner.
I den vänstra rutan högerklickar du på domänen där du vill tillåta ett osammanhängande namnområde och väljer sedan Egenskaper.
Välj fliken Säkerhet och välj Avancerat.
Under fliken Behörigheter väljer du Lägg till.
Välj Välj ett huvudnamnunder Ange de objektnamn som ska väljas, skriv det grupp- eller användarkontonamn som du vill delegera behörighet till och välj sedan OK.

Om du vill visa alla tillgängliga grupper och användarkonton i domänen väljer du Avanceratoch väljer sedan Hitta nu.
Under Gäller för, markera datorobjekt som är underordnade.
Under Behörighetermarkerar du kryssrutan Verifierad skrivning till tjänstens huvudnamn och väljer sedan OK i de tre öppna dialogrutorna för att tillämpa ändringarna.

Kör följande kommando för att bevilja lämpliga behörigheter för användarkontot eller datornamnet:

$userDN = (Get-ADUser -Identity UserName).DistinguishedName

& dsacls.exe $userDN /G "MyDomain\UserName:CA;servicePrincipalName"

$computerDN = (Get-ADComputer -Identity ComputerName).DistinguishedName

& dsacls.exe $computerDN /G "MyDomain\UserName:CA;servicePrincipalName"

Dela via