Fehlender Dienstprinzipalname
[Dieses Thema beschäftigt sich mit einem besonderen Problem, das von Exchange Server Analyzer angezeigt wird. Die Problembehandlung sollte nur auf Systeme angewendet werden, auf denen Exchange Server Analyzer ausgeführt wird und dieses spezielle Problem auftritt. Exchange Server Analyzer (als kostenloser Download verfügbar) trägt remote Konfigurationsdaten von allen Servern in der Topologie zusammen und analysiert diese Daten automatisch. Der sich ergebende Bericht enthält ausführliche Informationen zu wichtigen Konfigurationskonflikten, möglichen Problemen und Produkteinstellungen, die nicht den Standardeinstellungen entsprechen. Indem Sie diese Empfehlungen beachten, können Sie bessere Leistung, Skalierbarkeit, Zuverlässigkeit und Betriebszeit erzielen. Weitere Informationen zum Tool sowie zum Download der aktuellsten Version finden Sie unter "Microsoft Exchange Analyzers" unter der Adresse https://go.microsoft.com/fwlink/?linkid=34707.]
Letztes Änderungsdatum des Themas: 2010-05-24
Das Tool Microsoft Exchange Server Analyzer fragt den Active Directory-Verzeichnisdienst ab, um die für das servicePrincipalName-Attribut des Exchange Server-Computerkontos zurückgegebenen Werte zu ermitteln. In der folgenden Tabelle sind die Werte der Exchange-Ressource servicePrincipalName zusammen mit den erwarteten Rückgabewerten der Ressource auf Computern mit Microsoft Exchange Server 2007 oder einer früheren Version aufgelistet.
| Wert von servicePrincipalName für die Exchange-Ressource | Erwarteter Rückgabewert |
|---|---|
exchangeMDB |
FQDN (Fully Qualified Domain Name) |
exchangeMDB |
NetBIOS-Name |
exchangeRFR |
FQDN (Fully Qualified Domain Name) |
exchangeRFR |
NetBIOS-Name |
SMTP |
FQDN (Fully Qualified Domain Name, vollqualifizierter Domänenname) |
SMTP |
NetBIOS-Name |
SMTPSVC |
FQDN (Fully Qualified Domain Name) |
SMTPSVC |
NetBIOS-Name |
HOST |
FQDN (Fully Qualified Domain Name) |
HOST |
NetBIOS-Name |
In Microsoft Exchange Server 2010 hängen die vorhandenen Werte für servicePrincipalName von der auf dem Computer installierten Rolle ab. In der folgenden Tabelle sind die Werte der Exchange-Ressource servicePrincipalName zusammen mit den erwarteten Rückgabewerten der Ressource auf Computern mit Microsoft Exchange Server 2010 aufgelistet.
| Rolle | Wert von servicePrincipalName für die Exchange-Ressource | Erwarteter Rückgabewert |
|---|---|---|
Alle Rollen |
HOST |
FQDN (vollqualifizierter Domänenname, Fully Qualified Domain Name) |
Alle Rollen |
HOST |
NetBIOS-Name |
ClientAccess-Server |
exchangeAB |
FQDN (vollqualifizierter Domänenname, Fully Qualified Domain Name) |
ClientAccess-Server |
exchangeAB |
NetBIOS-Name |
ClientAccess-Server |
exchangeRFR |
FQDN (vollqualifizierter Domänenname, Fully Qualified Domain Name) |
ClientAccess-Server |
exchangeRFR |
NetBIOS-Name |
Mailbox-Rolle ODER ClientAccess-Server |
exchangeMDB |
FQDN (vollqualifizierter Domänenname, Fully Qualified Domain Name) |
Mailbox-Rolle ODER ClientAccess-Server |
exchangeMDB |
NetBIOS-Name |
Hub-Transport ODER Edge-Transport |
SMTP |
FQDN (vollqualifizierter Domänenname, Fully Qualified Domain Name) |
Hub-Transport ODER Edge-Transport |
SMTP |
NetBIOS-Name |
Hub-Transport ODER Edge-Transport |
SMTPSVC |
FQDN (vollqualifizierter Domänenname, Fully Qualified Domain Name) |
Hub-Transport ODER Edge-Transport |
SMTPSVC |
NetBIOS-Name |
Wenn Exchange Server Analyzer feststellt, dass dem Attribut servicePrincipalName für das Computerkonto einer Exchange-Ressource einer der hier aufgeführten erwarteten Werte fehlt, wird ein Fehler angezeigt.
Ein Dienstprinzipalname (Service Principal Name, SPN) ist ein eindeutiger Name, der eine Instanz eines Diensts identifiziert und dem Anmeldekonto zugeordnet ist, unter dem die Dienstinstanz ausgeführt wird. Kerberos-Authentifizierung ist für Exchange-Dienste nur mit ordnungsgemäß festgelegten SPNs möglich.
- Authentifizierungsprobleme zwischen Clients, auf denen Microsoft Office Outlook 2003 oder höher ausgeführt wird, und dem Exchange-Informationsspeicher (Postfachdaten) können darauf hindeuten, dass ein gültiger SPN für die exchangeMDB-Ressource fehlt.
- Clients mit Outlook 2003 oder höher, die Active Directory-Authentifizierungsprobleme haben, können darauf hindeuten, dass ein gültiger SPN für die exchangeRFR-Ressource fehlt.
- Authentifizierungsfehler zwischen virtuellen SMTP-Servern (Simple Mail Transport Protocol) können darauf hindeuten, dass ein gültiger SPN für die SMTPSVC- oder die HOST-Ressource fehlt.
Verfahren Sie wie folgt, um dieses Problem zu beheben, indem Sie die fehlenden Wert für die betroffenen Attribute hinzufügen.
.gif "note") Anmerkung: |
|---|
| Wenn dieses Problem in einer Exchange 2007-Clusterumgebung auftritt, befolgen Sie die Anweisungen im Microsoft Knowledge Base-Artikel 935676, "Ereignis-ID 9317 wird protokolliert, wenn der Microsoft Exchange-Systemaufsichtsdienst auf einem Exchange 2007-Clusterknoten online geschaltet wird" (https://go.microsoft.com/fwlink/?linkid=3052&kbid=935676) (englischsprachig). |
Fügen Sie mithilfe des Tools SETSPN.exe einen SPN mit den fehlenden Werten hinzu.
Installieren Sie das Tool Setspn.exe. Das Tool Setspn.exe können Sie unter "Windows 2000 Resource Kit Tool: Setspn.exe" (https://go.microsoft.com/fwlink/?LinkId=28103) herunterladen.
Die Windows Server 2003-Version des Befehlszeilentools Setspn.exe ist in den Windows Server 2003 Support Tools verfügbar, die sich auf der Windows Server 2003-CD befinden. Doppelklicken sie zum Installieren der Server 2003 Support Tools auf die Datei Suptools.msi im Ordner Support/Tools.
Befolgen Sie die Anleitung in der Datei Setspn_d.txt von SETSPN.EXE, um dem Active Directory-Objekt für Ihren Server mit Exchange den fehlenden Wert hinzuzufügen. In dem folgenden Beispiel wird gezeigt, wie für den SPN eines virtuellen SMTP-Servers der FQDN-Wert hinzugefügt wird:
- Öffnen Sie eine Eingabeaufforderung, und wechseln Sie in das Verzeichnis, in dem Sie Setspn.exe installiert haben.
- Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE.
**setspn.exe-a SMTPSVC/**mail.IhreDomäne.com IHRSERVERNAMEAnmerkung:Ersetzen Sie mail.IhreDomäne.com durch den FQDN Ihres virtuellen SMTP-Servers und IHRSERVERNAME durch den Namen des Servers mit Exchange. Zwischen SMTPSVC/ und mail.IhreDomäne.com im Befehl oben befindet sich kein Leerzeichen.