Zum Inhalt

SPN-Attribut setzen

Es gibt folgende Möglichkeiten das SPN-Attribut zu setzen:

Automatische Methode

Der AD-Benutzer, unter dem der VDog MasterService gestartet wird, hat im Active Directory Schreib- und Leserechte. octoplant setzt bei ausreichender Berechtigung das Attribut selbst.

Manuelle Methode

Der Domain-Administrator schreibt das Attribut SPN im Active Directory auf den Benutzer, unter dem der VDog MasterService gestartet wird. Weisen Sie ihn auf das folgende SPN Format hin: http://{Servername}.{FQDN}.

Alle SPNs erstellen

Für jede Serveradresse aller Clientkonfigurationen muss ein SPN hinzugefügt werden.

Vorgehensweise mit dem ADSI-Editor

  1. Öffnen Sie den ADSI-Editor auf dem Domänencontroller: Schritte: Systemsteuerung > System und Sicherheit > Verwaltung > ADSI-Editor.
  2. Stellen Sie die Verbindung mit der Domain des Servers her.
  3. Suchen Sie nach dem Benutzer des Dienstes und öffnen Sie die Eigenschaften (Rechtsklick).
  4. Suchen Sie im Attribut-Editor den Eintrag servicePrincipalName und klicken Sie auf Bearbeiten.
  5. Geben Sie den Service Principal Namen (SPN) für jeden Server ein. Format: http://{Servername}.{FQDN}.
  6. Starten Sie die Dienste neu.

  7. SSO funktioniert jetzt.

    Abbildung: ADSI-Editor, SPN hinterlegen

Vorgehen über eine Kommandozeile

Mit dem Befehl setspn kann ein SPN für einen octoplant Server hinzugefügt werden.

Details

Einzelheiten zum Befehl setspn finden Sie in der Microsoft-Dokumentation.

Groß-/Kleinschreibung

Bei den Argumenten für den Befehl setspn wird zwischen Groß- und Kleinschreibung unterschieden.

  • Um vorhandene SPNs für ein Konto aufzulisten, verwenden Sie den folgenden Befehl:

    setspn -L {Benutzername}

    Das folgende Bild zeigt die Ergebnisse dieses Befehls:

    Abbildung: SPN Benutzer hinzufügen

  • Um hinzuzufügen, dass der VDog MasterService unter einem speziellen Benutzerkonto läuft, verwenden Sie diesen Befehl:

    setspn -s http://{zusätzlicher Servername} {Benutzername}

    Das folgende Bild zeigt die Ergebnisse dieses Befehls:

    Abbildung: SPN Besonderer Benutzer

  • Um hinzuzufügen, dass der VDog MasterService unter einem Systemkonto läuft, verwenden Sie diesen Befehl:

    setspn -s http://{Servername} {Benutzername}

    Das folgende Bild zeigt die Ergebnisse dieses Befehls:

    Abbildung: SPN-Systemkonto

  • Das Hinzufügen eines SPN, der bereits existiert, führt zu einem Konflikt. Das folgende Bild zeigt ein Beispiel für einen Konflikt:

    Abbildung: SPN-Konflikt

    Fragen Sie in diesem Fall, ob der SPN für die angezeigte Entität erforderlich ist.

    • Wenn die Antwort nein lautet:

      1. Entfernen Sie es mit diesem Befehl:

        setspn -d http://{Servername}

        Das folgende Bild zeigt die Ergebnisse dieses Befehls:
        Abbildung: SPN-Systemkonto

      2. Überprüfen Sie, ob er entfernt wurde, indem Sie setspn -L {Benutzername} ausführen.

    • Ist dies der Fall, muss ein anderer Servername für die Anwendung oder den Dienst oder für octoplant definiert werden:

      setspn -s http://{Servername} {Benutzername}