服務主體名稱

服務主體名稱 （SPN） 是服務實例的唯一標識碼。 Kerberos 驗證 會使用SPN將服務實例與服務登入帳戶產生關聯。 這樣做可讓用戶端應用程式要求帳戶的服務驗證，即使用戶端沒有帳戶名稱也一樣。

若您透過樹系在電腦上安裝多個服務執行個體，則每個執行個體都須有自己的 SPN。 如果用戶端可以使用多個名稱進行驗證，服務實例可以有多個SPN。 例如，因為SPN一律包含服務實例執行所在的主計算機名稱，因此服務實例可能會註冊多個SPN，每個名稱或其主機的別名各一個。 如需SPN格式和撰寫唯一SPN的詳細資訊，請參閱 唯一SPN的名稱格式。

在 Kerberos 驗證服務可以使用 SPN 來驗證服務之前，必須在服務實例用來登入的帳戶對象上註冊 SPN。 指定的SPN只能在一個帳戶上註冊。 針對 Win32 服務，服務安裝程式會在安裝服務的實例時指定登入帳戶。 安裝程式接著會撰寫 SPN，並將其寫入為帳戶對象的屬性，Active Directory 網域服務。 如果服務實例的登入帳戶變更，則必須在新帳戶下重新註冊SPN。 如需詳細資訊，請參閱 服務如何註冊其SPN。

當用戶端想要連接到服務時，它會尋找服務的執行個體、撰寫該執行個體的 SPN、連接到服務，然後呈現服務的 SPN 以進行驗證。 如需詳細資訊，請參閱 用戶端如何撰寫服務的SPN。

本節內容

本節包含下列參考文章：

• 唯一SPN的名稱格式
• 服務如何撰寫其SPN
• 服務如何註冊其SPN
• 用戶端如何撰寫服務的SPN

另請參閱

• 什麼是 SPN，為什麼您應該在乎？
• 使用 Kerberos 進行相互驗證