Exporter (0) Imprimer
Développer tout
Arp
At
Cd
Cls
Cmd
Del
Dir
Fc
For
Ftp
If
Ldp
Lpq
Lpr
Md
Mmc
Msg
Nlb
Rcp
Rd
Reg
Rem
Ren
Rsh
Rsm
Rss
Sc
Set
Sfc
Ver
Vol
Développer Réduire
Cet article a fait l'objet d'une traduction automatique. Déplacez votre pointeur sur les phrases de l'article pour voir la version originale de ce texte. Informations supplémentaires.
Traduction
Source

Setspn

Lit, modifie et supprime la propriété répertoire de noms principaux de Service (SPN) pour un compte de service Active Directory. Noms principaux de service vous permet de localiser un nom principal cible pour l'exécution d'un service. Vous pouvez utiliser Setspn pour afficher les noms SPN actuels, réinitialiser les SPN par défaut du compte et ajouter ou supprimer des noms SPN.

Setspn est un outil de ligne de commande qui est intégré à Windows Server 2008. Il est disponible si vous avez installé le rôle de serveur Services de domaine Active Directory (AD DS). Utilisation de setspn, vous devez exécuter la commande setspn à partir d'une invite de commandes avec élévation de privilèges. Pour ouvrir une invite de commandes avec élévation de privilèges, cliquez sur Démarrer, cliquez droit sur invite de commandeet puis cliquez sur Exécuter en tant qu'administrateur.

Pour obtenir des exemples d'utilisation de cette commande, voir des exemples.

Il est généralement pas nécessaire de modifier les noms principaux de service. Ils sont définis par un ordinateur lorsqu'il rejoint un domaine et lorsque les services sont installés sur l'ordinateur. Toutefois, dans certains cas, ces informations peuvent devenir obsolètes. Par exemple, si le nom d'ordinateur est modifié, les SPN pour les services installés doivent être modifiés pour faire correspondre le nom d'ordinateur. En outre, certains services et applications peuvent nécessiter une modification manuelle des informations de SPN du compte de service pour authentifier correctement.

Pour plus d'informations sur la vérification des inscriptions SPN et résolution des noms principaux de service, consultez Noms principaux de service (http://go.Microsoft.com/fwlink/?)LinkId = 198395). Pour plus d'informations sur la façon dont un service enregistre les noms SPN et comment les clients composent SPN d'un service, consultez noms principaux de Service) http://go.Microsoft.com/fwlink/ ?LinkId = 102556 ).

Dans Active Directory, l'attribut servicePrincipalName est un attribut à valeurs multiples, nonlinked qui est construit à partir du nom d'hôte DNS. Le SPN est utilisé dans le processus d'authentification mutuelle entre le client et le serveur qui héberge un service particulier. Le client trouve un compte d'ordinateur basé sur le SPN du service auquel il tente de se connecter.

Pour effectuer les tâches décrites dans les sections suivantes, vous devez disposer d'appartenance dans Admins du domaine, administrateurs de l'entreprise, ou avoir reçu par délégation les autorisations nécessaires. Pour plus d'informations sur la délégation des autorisations nécessaires pour modifier les noms principaux de service, voir Délégation de l'autorité pour modifier les noms principaux de service.

Les sections suivantes décrivent comment exécuter des commandes de base Setspn.exe. Pour plus d'informations sur les options de Setspn.exe, consultez Syntaxe Setspn, Setspn Remarqueset des Exemples de Setspn.

Format de nom principal de service

Lorsque vous manipulez des SPN avec setspn, le SPN doit figurer dans le format correct. Le format d'un SPN est serviceclass/host:port/servicename, dans laquelle chaque élément représente un nom ou une valeur. À moins que le nom du service et le port ne sont pas standard, vous n'avez pas à les entrer lorsque vous utilisez setspn. Par exemple, le noms principaux de service par défaut pour un serveur nommé WS2003A qui fournit des services (RDP) de bureau à distance via le port par défaut (TCP 3389) inscrire les deux SPN suivants dans son propre objet d'ordinateur Active Directory :

TERMSRV/WS2003A

TERMSRV/WS2003A.cpandl.com

Les exemples dans les sections suivantes supposent que le port par défaut et le nom de service sont utilisés pour les noms principaux de service, qui est la situation classique. Toutefois, si vous devez spécifier une configuration de SPN non standard, consultez Formats de nom pour les noms principaux de service Unique

( http://go.Microsoft.com/fwlink/ ?LinkId = 102555 ).

Affichage des noms principaux de service

Pour afficher une liste des SPN un ordinateur est inscrit auprès d'Active Directory à partir d'une invite de commande, utilisez la commandehostnamesetspn – l, où nomhôte est le nom d'hôte réel de l'objet ordinateur que vous voulez interroger.

Cc731241.note(fr-fr,WS.10).gif Remarque
Pour trouver le nom d'hôte pour un ordinateur à partir d'une invite de commandes, tapez hostnameet appuyez sur ENTRÉE.

Par exemple, pour répertorier les noms principaux de service d'un ordinateur appelé WS2003A, à l'invite de commandes, tapez setspn-l S2003Aet appuyez sur ENTRÉE. Un contrôleur de domaine nommé WS2003A dans Cpandl.com, qui fonctionne également comme un serveur de catalogue global et un serveur de nom de domaine (DNS), enregistre les noms principaux de service suivants :

Registered ServicePrincipalNames for CN=WS2003A,OU=Domain Controllers,DC=cpandl,DC=com:

ldap/WS2003A.cpandl.com/ForestDnsZones.cpandl.com

ldap/WS2003A.cpandl.com/DomainDnsZones.cpandl.com

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/WS2008A.cpandl.com

DNS/WS2003A.cpandl.com

GC/WS2003A.cpandl.com/cpandl.com

HOST/WS2003A.cpandl.com/CPANDL

HOST/WS2003A

HOST/WS2003A.cpandl.com

HOST/WS2003A.cpandl.com/cpandl.com

E3514235-4B06-11D1-AB04-00C04FC2DCD2/70906edd-c8a5-4b7d-8198-4f970f7b9f52/cpandl.com

ldap/70906edd-c8a5-4b7d-8198-4f970f7b9f52._msdcs.cpandl.com

ldap/WS2003A.cpandl.com/CPANDL

ldap/WS2003A

ldap/WS2003A.cpandl.com

ldap/WS2003A.cpandl.com/cpandl.com

70906Edd-c8a5-4b7d-8198-4f970f7b9f52 de l'identificateur global unique (GUID) identifie l'objet Paramètres NTDS du contrôleur de domaine (NTDS-DSA), qui est unique pour chaque contrôleur de domaine. Les deux autres GUID, NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232 et E3514235-4B06-11 D 1-AB04-00C04FC2DCD2, identifier le Service de réplication de fichiers (NTFRS) et l'appel de procédure distante (RPC), Service de réplication d'annuaire (DRS) respectivement, et ils sont des noms principaux de service standard pour tous les contrôleurs de domaine.

Cc731241.note(fr-fr,WS.10).gif Remarque
Si la délégation contrainte est en cours d'utilisation sur un ordinateur Windows Server 2003 nécessite une modification de nom principal de service, certains noms SPN peut ne pas apparaît. Pour plus d'informations, consultez l'article 936628 dans la Base de connaissances Microsoft) http://go.Microsoft.com/fwlink/ ?LinkID = 102306 ).

Réinitialisation des SPN

Si les noms principaux de service que vous voyez pour votre serveur affiche ce qui semble être des noms incorrects ;Pensez à la réinitialisation de l'ordinateur pour utiliser les noms principaux de service par défaut. Pour réinitialiser les valeurs de nom principal de service par défaut, utilisez la commandehostnamesetspn-rà une invite de commandes, où nomhôte est le nom d'hôte réel de l'objet ordinateur que vous souhaitez mettre à jour.

Par exemple, pour réinitialiser les noms principaux de service d'un ordinateur nommé server2, tapez setspn-r serveur2et appuyez sur ENTRÉE. Vous recevez une confirmation si la réinitialisation est réussie. Pour vérifier que les SPN sont affichent correctement, tapez setspn-l serveur2et appuyez sur ENTRÉE.

Cc731241.note(fr-fr,WS.10).gif Remarque
Pour plus d'informations relatives au dépannage des problèmes liés aux SPN, voir Service les ouvertures de session échouent échéance à définir correctement les SPN ( http://go.Microsoft.com/fwlink/ ?LinkId = 102554 ).

Ajout de noms principaux de service

Pour ajouter un SPN, utilisez la commandehostnamehostname/nom du servicesetspn-aà l'invite, où/nom du service est le nom principal de service que vous souhaitez ajouter et nomhôte est le nom d'hôte réel de l'objet ordinateur que vous souhaitez mettre à jour. Par exemple, s'il y a un contrôleur de domaine Active Directory avec le server1.contoso.com nom hôte qui nécessite un SPN pour le LDAP Lightweight Directory Access Protocol (), tapez server1 setspn-a ldap/server1.contoso.comet appuyez sur ENTRÉE pour ajouter le SPN.

Suppression des noms principaux de service

Pour supprimer un SPN, utilisez la commande setspnhostname hostname de où/nom du servicesetspn-d/nom du serviceà une invite de commande, où/nom du service est le nom principal de service doit être supprimé et nom d'hôte est le nom d'hôte réel de l'objet ordinateur que vous souhaitez mettre à jour. Par exemple, si le SPN pour le service Web sur un ordinateur nommé Server3.contoso.com est incorrect, vous pouvez le supprimer en tapant setspn-d http/server3.contoso.com server3, puis en appuyant sur ENTRÉE.

Délégation d'autorité pour modifier les noms principaux de service

Si vous devez autoriser les administrateurs délégués configurer les noms principaux de service (SPN), vous devez vous assurer que leurs comptes d'utilisateurs ont l'autorisation validés écrire de nom principal de service .

Appartenir au groupe Admins du domaineou équivalent, est le minimum requis pour effectuer cette procédure. Consulter les détails d'en utilisant les comptes appropriés et les appartenances aux groupes à Local et les groupes de domaine par défaut (http://go.Microsoft.com/fwlink/?)LinkId = 83477).

Pour accorder l'autorisation de modifier les noms principaux de service

  1. Ouvrez utilisateurs et ordinateurs Active Directory.

    Pour ouvrir Utilisateurs et Active Directory ordinateurs, cliquez sur Démarrer, sur exécuter, tapez DSA.mscet puis appuyez sur ENTRÉE.

  2. Cliquez sur affichage, puis vérifiez que la case à cocher Fonctionnalités avancées est sélectionnée.

  3. Cliquez sur Fonctionnalités avancées, si elle n'est pas activée.

    Si le domaine auquel vous souhaitez autoriser un espace de nom disjoint n'apparaît pas dans la console, procédez comme suit :

    1. Dans l'arborescence de la console, cliquez droit sur ordinateurs et utilisateurs Active Directory et puis cliquez sur se connecter au domaine.

    2. Dans la zone domaine , tapez le nom du domaine Active Directory auquel vous souhaitez autoriser l'espace de noms disjoint, puis cliquez sur OK.

      Comme alternative, vous pouvez utiliser le bouton Parcourir pour localiser le domaine Active Directory.

  4. Dans l'arborescence de la console, cliquez droit sur le nœud qui représente le domaine auquel vous souhaitez autoriser un espace de noms disjoint, puis cliquez sur Propriétés.

  5. Sous l'onglet sécurité , cliquez sur Avancé.

  6. Sous l'onglet autorisations , cliquez sur Ajouter.

  7. Dans la zone Entrez le nom de l'objet à sélectionner, tapez le nom du compte utilisateur ou groupe auquel vous souhaitez déléguer l'autorisation, puis cliquez sur OK.

  8. Configurer la zone Appliquer à des objets ordinateur.

  9. Au bas de la zone autorisations , activez la case à cocher Autoriser correspondant aux autorisations écriture validée vers le nom principal de service et puis cliquez sur OK dans les trois boîtes de dialogue Ouvrir pour confirmer vos modifications.

  10. Fermez utilisateurs et ordinateurs Active Directory.

Syntaxe



setspn <Computer>[-l]. [-r]. [-une <SPN>] [-d <SPN>] [-s <SPN>] [-?]

Dans Windows Server 2008 R2 et Windows Server 2008, Setspn.exe possède des modificateurs et modificateurs et commutateurs de Mode de requête et commutateurs en Mode Modifier. La syntaxe est :



setspn [commutateur modificateurs] [nom du compte]

Où [nom du compte] peut être le nom ou le domaine/nom du compte d'utilisateur ou ordinateur cible.

Paramètres

Modifier les paramètres de Mode Description

<Computer>

Spécifie l'objet de compte Active Directory souhaité pour laquelle vous pouvez configurer les noms principaux de Service (SPN). Normalement, c'est le nom NetBIOS de l'ordinateur et éventuellement le domaine qui contient le compte d'ordinateur. Toutefois, aucun souhaité nom de l'objet Active Directory peut être utilisé.

-l

Répertorie le SPN actuellement inscrit pour l'ordinateur.

Utilisation : setspn – l NomCompte

-r

Réinitialise les inscriptions SPN par défaut pour les noms d'hôte pour l'ordinateur.

Utilisation : setspn-r NomCompte

Par exemple, pour inscrire le SPN « HOST/daserver1 » et « HOST / {DNS de daserver1} » :



setspn -R daserver1

-un <SPN >

Ajoute le nom SPN spécifié pour l'ordinateur.

Utilisation : setspn – un NomCompte SPN

Par exemple, pour inscrire le SPN « http/daserver » de l'ordinateur « daserver1 » :



setspn - un http/daserver daserver1

-d <SPN >

Supprime le nom SPN spécifié pour l'ordinateur.

Utilisation : setspn –d SPN NomCompte

Par exemple, pour supprimer les SPN « http/daserver » de l'ordinateur « daserver1 » :



setspn -D http/daserver daserver1

s - <SPN>SPN

Ajoute le nom SPN spécifié après avoir vérifié qu'il existe aucun doublon.

Utilisation : setspn – s SPN NomCompte

-?

Affiche l'aide à l'invite de commande. Ce paramètre est la valeur par défaut : Si vous exécutez setspn exécuter sans ce paramètre affiche l'utilisation de ligne de commande du SPN.

Modification des modificateurs de Mode

Description

-C

Spécifiez que le nom de ce compte est un compte d'ordinateur.

-U

Spécifiez que le nom de ce compte est un compte d'utilisateur.

Par exemple, pour inscrire le SPN « http/daserver » de l'utilisateur du compte « dauser » :



setspn - U - un http/daserver dauser

Cc731241.note(fr-fr,WS.10).gif Remarque
C - et - U sont exclusifs. Si aucun n'est spécifié, l'outil interprète accountname comme un nom d'ordinateur s'il existe un tel ordinateur et un nom d'utilisateur si elle n'est pas le cas.

Paramètres du Mode de requête

Description

Q - <SPN>SPN

Requête de l'existence d'un SPN.

Utilisation : setspn Q - SPN

-X

Cc731241.note(fr-fr,WS.10).gif Remarque
Recherche de doublons, en particulier toute la forêt, peuvent prendre une longue période de temps et d'une grande quantité de mémoire.

Rechercher des noms SPN en double.

Utilisation : setspn -X

Modificateur de Mode de requête

Description

-F

Effectuer des requêtes au niveau de la forêt, plutôt qu'au niveau du domaine.

Par exemple, pour inscrire le SPN « http/daserver » pour l'ordinateur « daserver1 » si aucun SPN telle existe dans la forêt :



setspn -F -S http/daserver daserver1

-T

Effectuer une requête sur la forêt ou le domaine spécifié (lorsque -F est également utilisé).

Utilisation : setspn -T domaine (commutateurs et autres paramètres). Utilisez "" ou * pour indiquer le domaine actuel ou la forêt.

Par exemple, pour signaler tous les enregistrement en double des SPN dans ce domaine et le domaine contoso :



setspn -T * contoso -T -X

Pour rechercher tous les noms SPN du formulaire * / daserver inscrit dans la forêt à laquelle contoso domaine appartient :



setspn -T contoso -F -Q * / daserver

Remarques

  • Une requête en Mode modificateurs peuvent être utilisés avec le commutateur -S afin de spécifier où la vérification des doublons doit être effectuée avant d'ajouter le SPN.

  • -T peut être spécifié plusieurs fois. -Q s'exécutera sur chaque domaine cible ou de la forêt. X - retournera les doublons qui existent entre toutes les cibles. Noms principaux de service (SPN) ne sont pas nécessaires soient uniques dans les forêts, mais les noms SPN en double peut entraîner des problèmes d'authentification lors de l'authentification entre forêts.

  • SPN peut uniquement être construit en utilisant le nom de base du compte en tant que paramètre de l'ordinateur . Le service d'annuaire applique ceci en générant une erreur de violation de contrainte.

    Vous n'êtes peut-être pas les droits pour accéder ou modifier cette propriété sur certains objets de compte. Vous pouvez déterminer quels sont vos droits d'accès en affichant les attributs de sécurité de l'objet de compte à l'aide de la Console MMC (Microsoft Management) dans Active Directory utilisateurs et ordinateurs. Vous pouvez également déléguer l'autorisation en assignant l'écriture validée pour l'autorisation de nom principal de service pour l'utilisateur ou le groupe.

  • Les SPN intégrés qui sont reconnus pour les comptes d'ordinateurs sont les suivants :

    avertissement

    Appmgmt

    navigateur

    CIFS

    cisvc

    Clipsrv

    DCOM

    DHCP

    DmServer

    DNS

    DnsCache

    EventLog

    EventSystem

    télécopie

    http

    IAS

    IISADMIN

    Messenger

    MSIServer

    mcsvc

    NetDDE

    netddedsm

    Netlogon

    NETMAN

    nmagent

    Oakley

    plugplay

    policyagent

    ProtectedStorage

    RasMan

    RemoteAccess

    Replicator

    RPC

    RPCLOCATOR

    Rpcss

    RSVP

    SamSs

    SCardSvr

    Scesrv

    planification

    SCM

    Seclogon

    SNMP

    spouleur

    TAPISRV

    heure

    Trksvr

    trkwks

    onduleur

    W3SVC

    WINS

    www

    Ces noms SPN est reconnus pour les comptes d'ordinateur si l'ordinateur dispose d'un hôte SPN. Sauf si elles sont explicitement placés sur des objets, un hôte SPN peut substituer pour tous les SPN ci-dessus.

  • Noms principaux de service (SPN) ne sont pas la distinction majuscules/minuscules lorsqu'il est utilisé par les ordinateurs Microsoft Windows. Toutefois, un SPN peut être utilisé par n'importe quel type de système informatique. La plupart de ces systèmes informatiques, en particulier UNIX systèmes, respectent la casse et nécessitent la mise en majuscules correcte pour fonctionner correctement. Soyez attentif à utiliser la casse correcte, particulièrement lorsqu'un SPN peut être utilisé par un ordinateur non basés sur Windows.

Exemples

Exemple 1: Liste actuellement SPN inscrits




setspn-l daserver1ServicePrincipalNames inscrits pour CN=DASERVER1,CN=Computers,DC=reskit,DC=contoso,DC=com:HOST/daserver1HOST/daserver1.reskit.contoso.com


Exemple 2: Réinitialisation par défaut des noms SPN enregistrés




setspn-r daserver1Enregistrement de ServicePrincipalNames de CN=DASERVER1,CN=Computers,DC=reskit,DC=contoso,DC=comHOST/daserver1.reskit.contoso.comHOST/daserver1Updated objet


Exemple 3: Ajouter un nouveau nom principal de service




setspn-a daserver1 http/daserver1.reskit.contoso.comEnregistrement de ServicePrincipalNames de CN=DASERVER1,CN=Computers,DC=reskit,DC=contoso,DC=comhttp/daserver1.reskit.contoso.comUpdated objet


Exemple 4: Supprimer un SPN




setspn-d http/daserver1.reskit.contoso.com daserver1Désinscription du ServicePrincipalNames pour CN=DASERVER1,CN=Computers,DC=reskit,DC=contoso,DC=comhttp/daserver1.reskit.contoso.comUpdated objet


Références supplémentaires

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft