如何为 NLB 管理点站点系统配置 SPN
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
主题上次更新时间 -- 2007 年 8 月
当在混合模式站点的网络负载平衡 (NLB) 群集中配置管理点站点系统时,如果使用站点系统计算机的本地系统帐户来运行站点系统网站的 Internet Information Services (IIS) 网站应用程序池,则客户端不能使用 Kerberos 身份验证来对站点系统进行身份验证。当在 NLB 群集中配置站点系统时,必须将域用户帐户配置为运行站点系统的相关 IIS 网站应用程序池。
重要
对于在纯模式下操作的站点,不需要为在网络负载平衡群集中配置的管理点站点系统配置服务主体名称 (SPN)。
要将 Kerberos 用作身份验证协议,必须将站点系统的 IIS 应用程序池上的应用程序池标识配置为使用域用户帐户以及为该帐户在 Active Directory 域服务中注册的 SPN。SetSPN 实用程序可用于为已配置为运行 NLB 站点系统的 IIS 应用程序池的域用户帐户注册 SPN。SetSPN 实用程序必须在站点服务器的域中的计算机上运行,并且必须使用域管理员凭据运行。要使用 SetSPN 实用程序为针对网络负载平衡配置的站点系统正确配置 SPN,请按照这些过程中的步骤执行操作。
备注
要使用 SetSPN 实用程序或打开 ADSIEdit MMC 控制台,您必须首先安装 Microsoft Windows Server 支持工具。Windows 2000 Server 和 Windows Server 2003 CD 上的支持工具文件夹中包括这些工具。要安装 Windows Server 支持工具,请导航到服务器安装 CD 上的 \SUPPORT\TOOLS\,然后运行 suptools.msi。
为 IIS 应用程序池服务帐户手动创建域用户服务主体名称 (SPN)
依次单击“开始”、“运行”,然后在“运行”对话框中输入 cmd。
从命令行导航到 Windows Server 支持工具安装目录。默认情况下,这些工具位于 C:\Program Files\Support Tools 目录中。
输入有效的命令以创建 SPN。命令形式如下:Setspn –A HTTP/<NLB 群集名称> <域\用户名>
通过查看已更新对象行的命令输出来验证命令是否已成功完成。
使用 ADSIEdit MMC 控制台验证 SPN 是否注册成功
创建或选择将用作 IIS 服务帐户的域用户帐户。
依次单击“开始”、“运行”,然后输入 adsiedit.msc 以启动 ADSIEdit MMC 控制台。
如有必要,请连接到站点服务器的域。
在控制台窗格中,依次展开站点服务器的域、“DC=<服务器可分辨名称>”和“CN=用户”,然后右键单击“CN=<服务帐户用户>”。在上下文菜单上,单击“属性”。
在“CN=<服务帐户用户> 属性”对话框中,查看 servicePrincipalName 的值以确保已创建有效的 SPN 并且其与正确的 NLB 群集名称相关联。
为在负载平衡群集中配置的管理点配置 Kerberos 身份验证
将要配置为站点系统的 IIS 应用程序池服务帐户的域用户帐户添加到配置为 NLB 群集的一部分的各个站点系统上的本地管理员组。
将要配置为站点系统的 IIS 应用程序池服务帐户的域用户帐户添加到配置为 NLB 群集的一部分的各个站点系统上的本地 IIS_WPG 组。
从“开始”菜单的“管理工具”程序组中打开 Internet Information Services。
在 IIS 管理器中展开“应用程序池”。
右键单击“CCM Windows Auth Server Framework Pool”,然后单击“属性”。
单击“标识”选项卡。
在应用程序池标识选项组中,确保选中“可配置”,然后单击“浏览”以选择已创建并充当 IIS 服务帐户的域用户帐户。在“密码”文本框中输入帐户密码。
单击“确定”。在“确认密码”对话框中重新输入 IIS 服务帐户密码,然后单击“确定”。