Exportar (0) Imprimir
Expandir Tudo
Arp
At
Cd
Cls
Cmd
Del
Dir
Fc
For
Ftp
If
Ldp
Lpq
Lpr
Md
Mmc
Msg
Nlb
Rcp
Rd
Reg
Rem
Ren
Rsh
Rsm
Rss
Sc
Set
Sfc
Ver
Vol
Expandir Minimizar
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Setspn

Lê, modifica e exclui a propriedade de diretório nomes Principal de serviço (SPN) para uma conta de serviço do Active Directory. Usar SPNs para localizar um nome principal do destino para executar um serviço. Você pode usar setspn para exibir SPNs atuais, redefinir SPNs do padrão da conta e adicionar ou excluir SPNs complementares.

Setspn é uma ferramenta de linha de comando incluída no Windows Server 2008. Está disponível se você tiver a função de servidor Serviços de domínio Active Directory (AD DS) instalada. Para usar setspn, você deve executar o comando setspn em um prompt de comando elevado. Para abrir um prompt de comando elevado, clique em Iniciar, clique com o botão direito Prompt de comandoe clique em Executar como administrador.

Para obter exemplos de como usar esse comando, consulte exemplos.

Não é geralmente necessário modificar SPNs. Eles são configurados por um computador quando ele ingressa em um domínio e serviços estão instalados no computador. Em alguns casos, no entanto, essas informações podem se tornar obsoletas. Por exemplo, se o nome do computador for alterado, os SPNs para serviços instalados devem ser alterados para coincidir com o novo nome de computador. Além disso, alguns serviços e aplicativos podem exigir modificações manuais de informações de SPN da conta de serviço para autenticar corretamente.

Para obter mais informações sobre como verificar os registros SPN e SPNs de solução de problemas, consulte Nomes principais de serviço (http://go.microsoft.com/fwlink/?LinkId = 198395). Para obter mais informações sobre como um serviço registra os SPNs e como clientes compõem SPN do serviço, consulte nomes principais de serviço ( http://go.microsoft.com/fwlink/?LinkId = 102556 ).

No Active Directory, o atributo servicePrincipalName é um atributo multivalorado, nonlinked que é criado a partir do nome de host DNS. O SPN é usado no processo de autenticação mútua entre o cliente e o servidor que hospeda um serviço específico. O cliente encontra uma conta de computador com base no SPN do serviço ao qual ele está tentando se conectar.

Para executar as tarefas descritas nas seções a seguir, você deve ter participação no Domain Admins, Enterprise Admins ou deve ter sido delegada a autoridade apropriada. Para informações sobre como delegar permissões para modificar SPNs, consulte Delegando autoridade para modificar SPNs.

As seções a seguir descrevem como executar comandos básicos de Setspn. exe. Para obter informações adicionais sobre as opções de Setspn. exe, consulte Sintaxe de Setspn, Setspn comentáriose Exemplos de Setspn.

Formato SPN

Quando você manipula SPNs com setspn, o SPN deve ser inserido no formato correto. O formato de um SPN é serviceclass/host:porta/servicename, na qual cada item representa um nome ou valor. A menos que o nome do serviço e a porta não padrão, é necessário inseri-los quando você usar setspn. Por exemplo, o SPNs padrão para um servidor chamado WS2003A que está fornecendo serviços (RDP) da área de trabalho remota pela porta padrão (TCP 3389) registrar SPNs de dois seguintes no seu próprio objeto de computador do Active Directory:

TERMSRV/WS2003A

TERMSRV/WS2003A.cpandl.com

Os exemplos nas seções seguintes assumem que a porta padrão e nome de serviço são usadas para SPNs, qual é a situação típica. No entanto, se você precisar especificar uma configuração padrão do SPN, consulte formatos de nome para SPNs exclusivo

( http://go.microsoft.com/fwlink/?LinkId = 102555 ).

Exibindo SPNs

Para exibir uma lista dos SPNs que um computador foi registrado com o Active Directory em um prompt de comando, use o comandohostnamesetspn l, onde nome_do_host é o nome de host real do objeto de computador que você deseja consultar.

Cc731241.note(pt-br,WS.10).gif Observação
Para localizar o nome do host de um computador em um prompt de comando, digite hostnamee pressione ENTER.

Por exemplo, para listar os SPNs de um computador denominado WS2003A, no prompt de comando, digite setspn -l S2003Ae pressione ENTER. Um controlador de domínio chamado WS2003A em Cpandl.com, que também está funcionando como um servidor de catálogo global e Domain Name System (DNS), registra os SPNs do seguintes:

Registered ServicePrincipalNames for CN=WS2003A,OU=Domain Controllers,DC=cpandl,DC=com:

ldap/WS2003A.cpandl.com/ForestDnsZones.cpandl.com

ldap/WS2003A.cpandl.com/DomainDnsZones.cpandl.com

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/WS2008A.cpandl.com

DNS/WS2003A.cpandl.com

GC/WS2003A.cpandl.com/cpandl.com

HOST/WS2003A.cpandl.com/CPANDL

HOST/WS2003A

HOST/WS2003A.cpandl.com

HOST/WS2003A.cpandl.com/cpandl.com

E3514235-4B06-11D1-AB04-00C04FC2DCD2/70906edd-c8a5-4b7d-8198-4f970f7b9f52/cpandl.com

ldap/70906edd-c8a5-4b7d-8198-4f970f7b9f52._msdcs.cpandl.com

ldap/WS2003A.cpandl.com/CPANDL

ldap/WS2003A

ldap/WS2003A.cpandl.com

ldap/WS2003A.cpandl.com/cpandl.com

70906Edd-c8a5-4b7d-8198-4f970f7b9f52 o identificador global exclusivo (GUID) identifica o objeto Configurações NTDS do controlador de domínio (NTDS-DSA) que é exclusivo para cada controlador de domínio. Outros dois GUIDs, NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232 e E3514235-4B06-11 D 1-AB04-00C04FC2DCD2, identificar o serviço de replicação de arquivos (NTFRS) e a chamada de procedimento remoto (RPC) do serviço de replicação de diretório (DRS) respectivamente, e são SPNs padrão para todos os controladores de domínio.

Cc731241.note(pt-br,WS.10).gif Observação
Se a delegação restrita está em uso em um computador do Windows Server 2003 requer uma modificação do SPN, algumas SPNs podem não aparecer. Para obter mais informações, consulte o artigo 936628 na Base de dados de Conhecimento da Microsoft ( http://go.microsoft.com/fwlink/?LinkID = 102306 ).

Redefinir SPNs

Se os SPNs Consulte servidor exibem o que parece estar incorretos nomes;Considere a possibilidade de redefinir o computador para usar os SPNs do padrão. Para redefinir os valores SPN padrão, use o comando setspn - rhostname de hostnamesetspn - rem um prompt de comando, onde hostname é o nome de host real do objeto de computador que você deseja atualizar.

Por exemplo, para redefinir os SPNs de um computador chamado Servidor2, digite setspn - r Servidor2e pressione ENTER. Você recebe a confirmação se a reinicialização for bem-sucedida. Para verificar os SPNs são exibidos corretamente, digite setspn -l Servidor2e pressione ENTER.

Cc731241.note(pt-br,WS.10).gif Observação
Para informações relacionadas à solução de problemas SPN, consulte serviço Logons falham devido para definir SPNs incorretamente ( http://go.microsoft.com/fwlink/?LinkId = 102554 ).

Adicionando SPNs

Para adicionar um SPN, use o comando setspn - anome do serviçohostname no prompt de comando, onde nome do serviço é o SPN que você deseja adicionar e nome_do_host é o nome de host real do objeto de computador que você deseja atualizar. Por exemplo, se houver um controlador de domínio do Active Directory com o nome de host Server1. contoso.com que requer um SPN para o LDAP Lightweight Directory Access Protocol (), digite setspn - a server1 ldap/server1.contoso.come pressione ENTER para adicionar o SPN.

Removendo SPNs

Para remover um SPN, use o comando de setspn -dnome de host nome de host donome do serviçosetspn -d nome_do_host no prompt de comando, onde nome do serviço é o SPN deve ser removido e nome_do_host é o nome de host real do objeto de computador que você deseja atualizar. Por exemplo, se o SPN para o serviço da Web em um computador chamado Server3.contoso.com estiver incorreto, pode removê-lo digitando setspn -d http/server3.contoso.com servidor3e pressionando ENTER.

Delegando autoridade para modificar SPNs

Se você precisar permitir que os administradores delegados configurar nomes principais de serviço (SPNs), certifique-se de que suas contas de usuário tem permissão validadas gravar nome principal de serviço .

Participação no Grupo Administradores de domínio, ou equivalente, é o mínimo necessário para concluir este procedimento. Revise os detalhes sobre como usar as contas apropriadas e participações em Local e grupos de domínio padrão (http://go.microsoft.com/fwlink/?LinkId = 83477).

Para conceder permissão para modificar SPNs

  1. Abra Active Directory Users and Computers.

    Para abrir o Active Directory Users and Computers, clique em Iniciar, clique em Executar, digite dsa. msce pressione ENTER.

  2. Clique em Exibire verifique se a opção Recursos avançados está selecionada.

  3. Clique em Recursos avançados, se não estiver selecionada.

    Se o domínio ao qual você deseja permitir um espaço para nome separado não aparecer no console, siga estas etapas:

    1. Na árvore de console, clique em Active Directory Users and Computers e clique em conectar-se ao domínio.

    2. Na caixa domínio , digite o nome do domínio do Active Directory ao qual você deseja permitir o espaço para nome separado e, em seguida, clique em OK.

      Como alternativa, você pode usar o botão Procurar para localizar o domínio do Active Directory.

  4. Na árvore de console, clique com o botão direito no nó que representa o domínio ao qual você deseja permitir um espaço para nome separado e, em seguida, clique em Propriedades.

  5. Na guia segurança , clique em Avançado.

  6. Na guia permissões , clique em Adicionar.

  7. Em Digite o nome do objeto para selecionar, digite o nome de conta de usuário ou grupo ao qual você deseja delegar permissões e clique em OK.

  8. Configure caixa Aplicar emobjetos de computador objetos de computador .

  9. Na parte inferior da caixa de permissões , marque a caixa de seleção Permitir que corresponde às permissões validadas gravar nome principal de serviço e clique em OK nas três caixas de diálogo abertas para confirmar as alterações.

  10. Feche o Active Directory Users and Computers.

Sintaxe



setspn <Computer>[-l]. [-r]. [-<SPN>] [-d <SPN>] [-s <SPN>] [-?]

No Windows Server 2008 R2 e Windows Server 2008, Setspn. exe tem opções de modo de edição e modificadores e opções de modo de consulta e modificadores. A sintaxe é:



setspn [modificadores switch] [accountname]

Onde [accountname] pode ser o nome ou domínio \ nome da conta de usuário ou computador de destino.

Parâmetros

Editar parâmetros de modo Descrição

<Computer>

Especifica o objeto desejado da conta do Active Directory para o qual configurar os nomes principais de serviço (SPN). Normalmente, este é o nome NetBIOS do computador e, opcionalmente, o domínio que contém a conta de computador. No entanto, qualquer desejado pode ser usado o nome de objeto do Active Directory.

-l

Lista o SPN registrado atualmente para o computador.

Uso: setspn – l accountname

-r

Redefine os registros SPN padrão para os nomes de host para o computador.

Uso: setspn – r accountname

Por exemplo, para registrar o SPN "HOST/servidorad1" e "HOST / {DNS de servidorad1}":



setspn -R servidorad1

-um <SPN >

Adiciona o SPN especificado para o computador.

Uso: setspn – accountname um SPN

Por exemplo, para registrar o SPN "http/servidorad" computador "servidorad1":



setspn - A http/servidorad servidorad1

-d <SPN >

Exclui o SPN especificado para o computador.

Uso: setspn –d SPN accountname

Por exemplo, para excluir SPN "http/servidorad" para computador "servidorad1":



setspn -D http/servidorad servidorad1

-s <SPN>SPN

Adiciona o SPN especificado depois de verificar que não há duplicatas.

Uso: setspn – s SPN accountname

-?

Exibe a Ajuda no prompt de comando. Este parâmetro é o padrão: se você executar setspn executar sem esse parâmetro exibe o uso de linha de comando do SPN.

Editar os modificadores de modo

Descrição

-C

Especifica o que AccountName que é uma conta de computador.

-U

Especifica o que AccountName que é uma conta de usuário.

Por exemplo, para registrar o SPN de "http/servidorad" para o usuário conta "dauser":



setspn - U - A http/servidorad dauser

Cc731241.note(pt-br,WS.10).gif Observação
-U e -C são exclusivos. Se nenhum for especificado, a ferramenta irá interpretar accountname como um nome de computador, se houver um computador e um nome de usuário se ele não.

Parâmetros de modo de consulta

Descrição

-Q <SPN>SPN

Consulta a existência de SPN.

Uso: setspn -Q SPN

-x

Cc731241.note(pt-br,WS.10).gif Observação
Ao procurar por duplicatas, especialmente toda a floresta, podem levar um longo período de tempo e uma grande quantidade de memória.

Procure os SPNs duplicados.

Uso: setspn -X

Modificadores de modo de consulta

Descrição

-F

Execute consultas na floresta, em vez de nível de domínio.

Por exemplo registrar o SPN "http/servidorad" computador "servidorad1" se não há tal SPN existe na floresta:



setspn -F -S http/servidorad servidorad1

-T

Execute a consulta no domínio ou floresta (quando também é usado -F).

Uso: setspn -T domínio (switches e outros parâmetros). Use "" ou * para indicar a floresta ou domínio atual.

Por exemplo, para relatar todos os registro duplicado de SPNs neste domínio e o domínio contoso:



setspn -T * contoso -T -X

Para localizar todos os SPNs do formulário * / servidorad registrado na floresta contoso qual domínio pertence:



setspn -T contoso -F -Q * / servidorad

Comentários

  • Modificadores de modo de consulta podem ser usados com a opção -S para especificar onde deve ser realizada a verificação de duplicatas antes de adicionar o SPN.

  • -T pode ser especificado várias vezes. -Q irá executar em cada floresta ou domínio de destino. -X retornará duplicatas que existem em todos os destinos. Nomes principais de serviço (SPNs) não precisam ser exclusivos entre florestas, mas os SPNs duplicados podem causar problemas de autenticação durante a autenticação entre florestas.

  • SPNs só podem ser construídos usando o nome de base de conta como o parâmetro de computador . O serviço de diretório impõe isso gerando um erro de violação de restrição.

    Talvez você não tenha os direitos para acessar ou modificar esta propriedade em alguns objetos de conta. Você pode determinar quais são seus direitos de acesso, exibindo os atributos de segurança do objeto de conta usando o Console de gerenciamento Microsoft (MMC) no Active Directory Users and Computers. Você também pode delegar a permissão atribuindo gravação validadas a permissão de nome principal de serviço para o usuário ou grupo.

  • Os SPNs internos que são reconhecidos para contas de computador são:

    alerta

    Appmgmt

    navegador

    CIFS

    cisvc

    clipsrv

    DCOM

    DHCP

    DmServer

    DNS

    DnsCache

    log de eventos

    EventSystem

    fax

    http

    IAS

    IISADMIN

    Messenger

    MSIServer

    mcsvc

    NetDDE

    netddedsm

    Netlogon

    Netman

    nmagent

    Oakley

    plugplay

    PolicyAgent

    ProtectedStorage

    RASMAN

    acesso remoto

    Replicator

    RPC

    RPCLOCATOR

    RPCSS

    RSVP

    SamSs

    SCardSvr

    Scesrv

    agenda

    SCM

    seclogon

    SNMP

    spooler

    TapiSrv

    tempo

    TrkSvr

    TrkWks

    no-break

    W3SVC

    WINS

    www

    Esses SPNs são reconhecidos para contas de computador se o computador tiver um host SPN. A menos que explicitamente, eles são colocados em objetos, um host SPN pode substituir qualquer SPNs acima.

  • Nomes principais de serviço (SPNs) não são sensíveis quando usado por computadores baseados no Windows do Microsoft. No entanto, um SPN pode ser usado por qualquer tipo de sistema de computador. Muitos desses sistemas de computador, especialmente sistemas baseados em UNIX, diferenciam maiúsculas de minúsculas e exigem a letra maiúscula para funcionar corretamente. Tome cuidado para usar a letra maiúscula particularmente quando um SPN pode ser usado por um computador baseado no Windows não.

Exemplos

Exemplo 1: Listar SPNs registrados atualmente




setspn -l servidorad1Registrado ServicePrincipalNames para CN=DASERVER1,CN=Computers,DC=reskit,DC=contoso,DC=com:HOST/daserver1HOST/daserver1.reskit.contoso.com


Exemplo 2: Redefinir padrão SPNs registrados




setspn - r servidorad1Registrando ServicePrincipalNames para o objeto CN=DASERVER1,CN=Computers,DC=reskit,DC=contoso,DC=comHOST/daserver1.reskit.contoso.comHOST/daserver1Updated


Exemplo 3: Adicionar um SPN novo




setspn - a servidorad1 http/daserver1.reskit.contoso.comRegistrando ServicePrincipalNames para o objeto CN=DASERVER1,CN=Computers,DC=reskit,DC=contoso,DC=comhttp/daserver1.reskit.contoso.comUpdated


Exemplo 4: Remover um SPN




setspn -d http/daserver1.reskit.contoso.com servidorad1Cancelando o registro ServicePrincipalNames para o objeto CN=DASERVER1,CN=Computers,DC=reskit,DC=contoso,DC=comhttp/daserver1.reskit.contoso.comUpdated


Referências adicionais

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft