通常,当您为 IIS 设置 Kerberos 时,您会执行类似setspn -A HTTP/machine some_account. 安装 IIS 7 后,它会为其内核模式身份验证注册 SPN“HOST/machine”。为什么这样做?当没有注册特定协议(例如“HTTP”)SPN 时,“HOST”是否是某种匹配的全能 SPN?因为客户端仍然会在其 TGT 请求中指定 HTTP SPN,对吗?
(对不起,如果这是一个简单的问题,“主机”对于谷歌来说是一个可预见的困难术语)
HOST 是几个 SPN 的统称。这些由使用 ADSIEdit.msc 的 AD 中 CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=MyDC,DC=com 中的字段 SPNmappings 确定
有关更多信息,请参阅此站点重复 SPN 的问题 – 替代工作标题... KB321044++
所以我不会忘记:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com