Meine SharePoint Installationen sind in der Regel Intranet Installationen. Je nach Szenario ist Kerberos über NTLM als Authentifizierung zu beorzugen. Es ist schwer mit Pauschalen zu arbeiten, aber in der Regel empfehle ich den EInsatz von Kerberos. Die Intrastruktur läßt sich so schnell an wachsende Aufgaben (Reporting, OTP, etc) anpassen. Beim Setzen der Service Principal Names (SPN) ist es wichtig, das der Service nur auf einm einzigen Objekt im Active Directory (AD) liegt. Zum Setzen und Auslesen der SPN's gibt es SETSPN.exe aus dem Ressource Kit (oder in Windows Server 2008 bereits enthalten). In der W2K8 Version von SETSPN kann ich beim Hinzufügen gleich auf doppelte Einträge prüfen lassen. Nur wenn es den Service Name noch nicht auf einem anderen Objekt gibt, wird er auf das gewüschte Element auch gesetzt. Die W2K8 Version läuft (wie immer) nicht auf den Vorgänger-Versionen. Es kommt hinzu, dass ich so Doubletten vermeide, aber wenn ich den entsprechenden Eintrag setzen will, muss ich irgendwie an die Information kommen, wo der Service registriert wurde. Ich habe im Internet gegooglet und eine passende Lösung gefunden:
http://blogs.dirteam.com/blogs/carlos/archive/2006/04/21/812.aspx
1: <GC_Server_Name> = CMD -> SET -> value of LOGONSERVER
2: <Service> = e.g. HOST or HTTP or ...
3: <URI> = e.g. URL of portal -> http://portal.ms.local
4: ldifde -s <GC_Server_Name> -f c:\<My_SPN_Dump_File>.txt -d "" -r "(serviceprincipalname=<Service>/<URI>)" -p subtree -t 3268 -l dn,serviceprinciplename
Ciao Marco
0 Responses to “Doppelte SPN's finden“