Zum Inhalt

SPN-Attribut setzen

Es gibt folgende Möglichkeiten das SPN-Attribut zu setzen:

Automatische Methode

Der AD-Benutzer, unter dem der VDog MasterService gestartet wird, hat im Active Directory Schreib- und Leserechte. octoplant setzt bei ausreichender Berechtigung das Attribut selbst.

Manuelle Methode

Der Domain-Administrator schreibt das Attribut SPN im Active Directory auf den Benutzer, unter dem der VDog MasterService gestartet wird. Weisen Sie ihn auf das folgende SPN Format hin: http://{Servername}.{FQDN}.

Alle SPNs erstellen

Für jede Serveradresse aller Clientkonfigurationen muss ein SPN hinzugefügt werden.

Vorgehensweise mit dem ADSI-Editor

  1. Öffnen Sie den ADSI-Editor auf dem Domänencontroller: Schritte: Systemsteuerung > System und Sicherheit > Verwaltung > ADSI-Editor.
  2. Stellen Sie die Verbindung mit der Domain des Servers her.
  3. Suchen Sie den Benutzer des Dienstes und klicken Sie mit der rechten Maustaste, um die Eigenschaften zu öffnen.
  4. Suchen Sie im Attribut-Editor den Eintrag servicePrincipalName und klicken Sie auf Bearbeiten.
  5. Geben Sie den Service Principal Namen (SPN) für jeden Server ein. Format: http://{Servername}.{FQDN}.
  6. Starten Sie die Dienste neu.
  7. SSO funktioniert jetzt.

Vorgehen über eine Kommandozeile

Mit dem Befehl setspn kann ein SPN für einen octoplant Server hinzugefügt werden.

Details

Einzelheiten zum Befehl setspn finden Sie in der Microsoft-Dokumentation.

Groß-/Kleinschreibung

Bei den Argumenten für den Befehl setspn wird zwischen Groß- und Kleinschreibung unterschieden.

  • Um vorhandene SPNs für ein Konto aufzulisten, verwenden Sie den folgenden Befehl:

    setspn -L {Benutzername}

    Das folgende Bild zeigt die Ergebnisse dieses Befehls:

    Abbildung: SPN Benutzer hinzufügen

  • Um hinzuzufügen, dass der VDog MasterService unter einem speziellen Benutzerkonto läuft, verwenden Sie diesen Befehl:

    setspn -s HTTP/{zusätzlicher Servername} {Benutzername}

    Das folgende Bild zeigt die Ergebnisse dieses Befehls:

    Abbildung: SPN Besonderer Benutzer

  • Um hinzuzufügen, dass der VDog MasterService unter einem Systemkonto läuft, verwenden Sie diesen Befehl:

    setspn -s HTTP/{Servername} {Benutzername}

    Das folgende Bild zeigt die Ergebnisse dieses Befehls:

    Abbildung: SPN-Systemkonto

  • Das Hinzufügen eines SPN, der bereits existiert, führt zu einem Konflikt. Das folgende Bild zeigt ein Beispiel für einen Konflikt:

    Abbildung: SPN-Konflikt

    Fragen Sie in diesem Fall, ob der SPN für die angezeigte Entität erforderlich ist.

    • Wenn die Antwort nein lautet:

      1. Entfernen Sie es mit diesem Befehl:

        setspn -d HTTP/{Servername}

        Das folgende Bild zeigt die Ergebnisse dieses Befehls:
        Abbildung: SPN-Systemkonto

      2. Überprüfen Sie, ob er entfernt wurde, indem Sie setspn -L {Benutzername} ausführen.

    • Ist dies der Fall, muss ein anderer Servername für die Anwendung oder den Dienst oder für octoplant definiert werden:

      setspn -s HTTP/{Servername} {Benutzername}