Exporter (0) Imprimer
Développer tout

Configuration de la délégation contrainte pour Kerberos

Mis à jour: août 2005

S'applique à: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1

La délégation contrainte, qui est une nouveauté de Windows Server 2003, est destinée à être utilisée par les comptes de service qui auraient dû enregistrer des noms principaux de service (SPN), et non pas par un compte utilisateur normal, qui n'a normalement pas de SPN.

L'utilitaire de ligne de commande Setspn.exe vous permet de lire, modifier et supprimer des SPN pour une propriété Active Directory. Setspn.exe est disponible dans le pack des outils de support fourni sur le CD-ROM de Windows Server 2003.

ImportantImportant
Vous devez être membre du groupe Administrateurs sur l'ordinateur local pour exécuter des scripts et des fichiers exécutables. Par mesure de sécurité, connectez-vous à votre ordinateur à l'aide d'un compte n'appartenant pas au groupe Administrateurs, puis utilisez la commande runas pour exécuter le script ou le fichier exécutable en tant qu'administrateur. À l'invite de commandes, tapez runas /profile /User:Mon_ordinateur\Administrator cmd pour ouvrir une fenêtre de commande avec des droits d'administrateur, puis tapez cscript.exenom_script (comprend le chemin d'accès complet au script et tout paramètre).

ImportantImportant
Vous devez être administrateur de domaine pour pouvoir définir un nom SPN.

Pour configurer la délégation contrainte

  1. Installez le pack des outils de support présent sur le CD-ROM de Windows Server 2003.

  2. Cliquez sur Démarrer, pointez sur Programmes ou sur Tous les programmes, pointez sur Outils de support de Windows, puis cliquez sur Invite de commande.

  3. À l'invite de commandes, tapez la commande suivante :

    setspn -a http/SiteName.DomainName.com Domain \User
    

    Nom_site.Nom_domaine.com est le site Web dont le pool d'applications s'exécute avec l'identité personnalisée que vous avez créée.

    Par exemple, la commande suivante affecte « http/contosohr.contoso.com » à l'identité personnalisée CONTOSO\cd1hr. Le préfixe http/ est une classe de service qui identifie ceci en tant que SPN pour un site Web.

    setspn -a http/contosohr.contoso.com CONTOSO\cd1hr
    

    Voici une autre façon de spécifier le même SPN, au moyen du seul nom du site :

    setspn -a http/contosohr CONTOSO\cd1hr
    

Si vous enregistrez accidentellement des SPN en double, vous pouvez utiliser Setspn.exe pour les supprimer. Pour plus d'informations, voir la page sur la syntaxe de Setspn.exe (éventuellement en anglais).

noteRemarque
Si vous configurez des serveurs exécutant IIS 6.0 dans un domaine Windows 2000 Server, vous pouvez utiliser la version de Setspn.exe qui est livrée avec Windows Server 2003 ou bien celle qui est livrée avec Windows 2000 Server.

Informations connexes

  • Pour plus d'informations sur la configuration de l'identité de pools d'applications, voir Configuration de l'identité d'un pool d'applications avec IIS 6.0.

  • Pour plus d'informations sur Kerberos et l'enregistrement de services, voir Integrated Windows Authentication.

  • Pour plus d'informations sur l'authentification NTLM, voir « Authentification » dans le Centre d'aide et de support de Windows Server 2003.

  • Pour plus d'informations sur Kerberos, voir « Kerberos » dans le Centre d'aide et de support de Windows Server 2003.

  • Pour plus d'informations sur la délégation contrainte, voir « Délégation contrainte » dans le Centre d'aide et de support de Windows Server 2003.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft