Fehlender Dienstprinzipalname

[Dieses Thema beschäftigt sich mit einem besonderen Problem, das von Exchange Server Analyzer angezeigt wird. Die Problembehandlung sollte nur auf Systeme angewendet werden, auf denen Exchange Server Analyzer ausgeführt wird und dieses spezielle Problem auftritt. Exchange Server Analyzer (als kostenloser Download verfügbar) trägt remote Konfigurationsdaten von allen Servern in der Topologie zusammen und analysiert diese Daten automatisch. Der sich ergebende Bericht enthält ausführliche Informationen zu wichtigen Konfigurationskonflikten, möglichen Problemen und Produkteinstellungen, die nicht den Standardeinstellungen entsprechen. Indem Sie diese Empfehlungen beachten, können Sie bessere Leistung, Skalierbarkeit, Zuverlässigkeit und Betriebszeit erzielen. Weitere Informationen zum Tool sowie zum Download der aktuellsten Version finden Sie unter "Microsoft Exchange Analyzers" unter der Adresse https://go.microsoft.com/fwlink/?linkid=34707.]  

Letztes Änderungsdatum des Themas: 2010-05-24

Das Tool Microsoft Exchange Server Analyzer fragt den Active Directory-Verzeichnisdienst ab, um die für das servicePrincipalName-Attribut des Exchange Server-Computerkontos zurückgegebenen Werte zu ermitteln. In der folgenden Tabelle sind die Werte der Exchange-Ressource servicePrincipalName zusammen mit den erwarteten Rückgabewerten der Ressource auf Computern mit Microsoft Exchange Server 2007 oder einer früheren Version aufgelistet.

Wert von servicePrincipalName für die Exchange-Ressource Erwarteter Rückgabewert

exchangeMDB

FQDN (Fully Qualified Domain Name)

exchangeMDB

NetBIOS-Name

exchangeRFR

FQDN (Fully Qualified Domain Name)

exchangeRFR

NetBIOS-Name

SMTP

FQDN (Fully Qualified Domain Name, vollqualifizierter Domänenname)

SMTP

NetBIOS-Name

SMTPSVC

FQDN (Fully Qualified Domain Name)

SMTPSVC

NetBIOS-Name

HOST

FQDN (Fully Qualified Domain Name)

HOST

NetBIOS-Name

In Microsoft Exchange Server 2010 hängen die vorhandenen Werte für servicePrincipalName von der auf dem Computer installierten Rolle ab. In der folgenden Tabelle sind die Werte der Exchange-Ressource servicePrincipalName zusammen mit den erwarteten Rückgabewerten der Ressource auf Computern mit Microsoft Exchange Server 2010 aufgelistet.

Rolle Wert von servicePrincipalName für die Exchange-Ressource Erwarteter Rückgabewert

Alle Rollen

HOST

FQDN (vollqualifizierter Domänenname, Fully Qualified Domain Name)

Alle Rollen

HOST

NetBIOS-Name

ClientAccess-Server

exchangeAB

FQDN (vollqualifizierter Domänenname, Fully Qualified Domain Name)

ClientAccess-Server

exchangeAB

NetBIOS-Name

ClientAccess-Server

exchangeRFR

FQDN (vollqualifizierter Domänenname, Fully Qualified Domain Name)

ClientAccess-Server

exchangeRFR

NetBIOS-Name

Mailbox-Rolle ODER ClientAccess-Server

exchangeMDB

FQDN (vollqualifizierter Domänenname, Fully Qualified Domain Name)

Mailbox-Rolle ODER ClientAccess-Server

exchangeMDB

NetBIOS-Name

Hub-Transport ODER Edge-Transport

SMTP

FQDN (vollqualifizierter Domänenname, Fully Qualified Domain Name)

Hub-Transport ODER Edge-Transport

SMTP

NetBIOS-Name

Hub-Transport ODER Edge-Transport

SMTPSVC

FQDN (vollqualifizierter Domänenname, Fully Qualified Domain Name)

Hub-Transport ODER Edge-Transport

SMTPSVC

NetBIOS-Name

Wenn Exchange Server Analyzer feststellt, dass dem Attribut servicePrincipalName für das Computerkonto einer Exchange-Ressource einer der hier aufgeführten erwarteten Werte fehlt, wird ein Fehler angezeigt.

Ein Dienstprinzipalname (Service Principal Name, SPN) ist ein eindeutiger Name, der eine Instanz eines Diensts identifiziert und dem Anmeldekonto zugeordnet ist, unter dem die Dienstinstanz ausgeführt wird. Kerberos-Authentifizierung ist für Exchange-Dienste nur mit ordnungsgemäß festgelegten SPNs möglich.

  • Authentifizierungsprobleme zwischen Clients, auf denen Microsoft Office Outlook 2003 oder höher ausgeführt wird, und dem Exchange-Informationsspeicher (Postfachdaten) können darauf hindeuten, dass ein gültiger SPN für die exchangeMDB-Ressource fehlt.
  • Clients mit Outlook 2003 oder höher, die Active Directory-Authentifizierungsprobleme haben, können darauf hindeuten, dass ein gültiger SPN für die exchangeRFR-Ressource fehlt.
  • Authentifizierungsfehler zwischen virtuellen SMTP-Servern (Simple Mail Transport Protocol) können darauf hindeuten, dass ein gültiger SPN für die SMTPSVC- oder die HOST-Ressource fehlt.

Verfahren Sie wie folgt, um dieses Problem zu beheben, indem Sie die fehlenden Wert für die betroffenen Attribute hinzufügen.

noteAnmerkung:
Wenn dieses Problem in einer Exchange 2007-Clusterumgebung auftritt, befolgen Sie die Anweisungen im Microsoft Knowledge Base-Artikel 935676, "Ereignis-ID 9317 wird protokolliert, wenn der Microsoft Exchange-Systemaufsichtsdienst auf einem Exchange 2007-Clusterknoten online geschaltet wird" (https://go.microsoft.com/fwlink/?linkid=3052&kbid=935676) (englischsprachig).

Fügen Sie mithilfe des Tools SETSPN.exe einen SPN mit den fehlenden Werten hinzu.

  1. Installieren Sie das Tool Setspn.exe. Das Tool Setspn.exe können Sie unter "Windows 2000 Resource Kit Tool: Setspn.exe" (https://go.microsoft.com/fwlink/?LinkId=28103) herunterladen.

    Die Windows Server 2003-Version des Befehlszeilentools Setspn.exe ist in den Windows Server 2003 Support Tools verfügbar, die sich auf der Windows Server 2003-CD befinden. Doppelklicken sie zum Installieren der Server 2003 Support Tools auf die Datei Suptools.msi im Ordner Support/Tools.

  2. Befolgen Sie die Anleitung in der Datei Setspn_d.txt von SETSPN.EXE, um dem Active Directory-Objekt für Ihren Server mit Exchange den fehlenden Wert hinzuzufügen. In dem folgenden Beispiel wird gezeigt, wie für den SPN eines virtuellen SMTP-Servers der FQDN-Wert hinzugefügt wird:

    • Öffnen Sie eine Eingabeaufforderung, und wechseln Sie in das Verzeichnis, in dem Sie Setspn.exe installiert haben.
    • Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE.
      **setspn.exe-a SMTPSVC/**mail.IhreDomäne.com IHRSERVERNAME
      noteAnmerkung:
      Ersetzen Sie mail.IhreDomäne.com durch den FQDN Ihres virtuellen SMTP-Servers und IHRSERVERNAME durch den Namen des Servers mit Exchange. Zwischen SMTPSVC/ und mail.IhreDomäne.com im Befehl oben befindet sich kein Leerzeichen.