Администрирование имен участников безопасности службы ADAM
При работе в домене или лесе Active Directory экземпляры ADAM (Active Directory Application Mode) пытаются зарегистрировать имена участников безопасности службы (SPN) в Active Directory для использования при проверке подлинности Kerberos во время репликации. Каждый экземпляр ADAM при первом запуске пытается зарегистрировать значения в атрибуте Service-Principal-Name объекта учетной записи, который представляет учетную запись службы, используемую экземпляром ADAM. Если экземпляр ADAM использует учетную запись сетевой службы в качестве учетной записи службы ADAM, то экземпляр ADAM пытается зарегистрировать значения в атрибуте Service-Principal-Name объекта компьютера, представляющего компьютер, на котором выполняется экземпляр ADAM. Далее перечислены значения, которые пытается зарегистрировать экземпляр ADAM:
- E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM\netbiosname:port
- E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM\dnshostname:port
- Ldap\netbiosname:port
- Ldap\dnshostname:port
Кроме того, если экземпляр ADAM использует зарезервированный порт связи (LDAP_PORT, LDAP_GC_PORT, LDAP_SSL_PORT или LDAP_SSL_GC_PORT), он производит следующие попытки регистрации SPN:
- Ldap\netbiosname
- Ldap\dnshostname
Wldap32.dll не использует SPN в формате порта для создания подключения к экземпляру ADAM с помощью зарезервированного порта. Например, если экземпляр1 ADAM на компьютере1 использует порт 3268 для LDAP, то Wldap32.dll создает следующее имя SPN для подключения: ldap\компьютер1. Однако если экземпляр2 ADAM на компьютере2 использует порт 1026 для LDAP, то Wldap32.dll создает следующее имя SPN для подключения: ldap\компьютер2:1026.
Примечание | |
Если на одном компьютере выполняются несколько экземпляров ADAM, два или более из которых используют зарезервированный порт, то для правильной регистрации SPN необходимо, чтобы эти экземпляры ADAM выполнялись с общей учетной записью службы ADAM. |
Попытки регистрации SPN производятся в контексте безопасности учетной записи службы ADAM. Если заданная учетная запись службы ADAM не является учетной записью сетевой службы или является учетной записью пользователя домена, не входящего в группу администраторов домена, то регистрация SPN не выполняется. ADAM отмечает эту ошибку как событие ID 2516 в журнале событий экземпляра ADAM. В случае такого сбоя программа установки ADAM также сообщает о событии ID 2535, в котором описывается процедура регистрации имен SPN для ADAM вручную.
Чтобы зарегистрировать имена SPN для ADAM в Active Directory вручную, воспользуйтесь файлом сценария имя_домена_dns.bat, который создается программой установки ADAM в каталоге данных экземпляра ADAM (Program Files\Microsoft ADAM\имя_экземпляра\data), где имя_домена_dns представляет имя домена DNS, в котором находится соответствующий экземпляр ADAM.
Примечания
- Файл BAT отображается в каталоге примерно через минуту после
завершения установки ADAM.
- Файл с расширением BAT содержит команды repadmin
/writespn, аналогичные командам в следующем примере:
repadmin.exe /writespn hostname.microsoft.com ADD "CN=adam,CN=Users,DC=microsoft,DC=com" E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM/netbioshostname:389 repadmin.exe /writespn hostname.microsoft.com ADD "CN=adam,CN=Users,DC=microsoft,DC=com" E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM/dnshostname:389 repadmin.exe /writespn hostname.microsoft.com ADD "CN=adam,CN=Users,DC=microsoft,DC=com" ldap/netbioshostname:389 repadmin.exe /writespn hostname.microsoft.com ADD "CN=adam,CN=Users,DC=microsoft,DC=com" ldap/dnshostname:389
Приведенный сценарий регистрирует соответствующие имена SPN в службе Active Directory. Сценарий должен выполняться членом группы администраторов домена.
Примечание | |
При регистрации имен SPN для экземпляров ADAM в службе Active Directory проверка подлинности репликации ADAM использует протокол Kerberos. В противном случае ADAM использует согласованную проверку подлинности репликации. Дополнительные сведения о проверке подлинности репликации см. в разделе Общие сведения о репликации и наборах конфигурации ADAM. |
Удаление имен SPN ADAM из Active Directory
При удалении экземпляра ADAM не забудьте удалить связанные имена SPN из Active Directory. Эти имена SPN находятся в объекте компьютера, куда был установлен экземпляр ADAM (если для учетной записи службы ADAM указана учетная запись сетевой службы) или в объекте пользователя домена (если для учетной записи службы ADAM указана учетная запись пользователя домена).
Принудительное использование SPN в среде Active Directory
Для принудительного использования имен SPN и протокола Kerberos при проверке подлинности репликации в наборе конфигурации можно изменить уровень безопасности репликации набора конфигурации на 2. Дополнительные сведения см. в разделе Изменение уровня безопасности репликации набора конфигурации.
Внимание! | |
Если задан уровень безопасности репликации 2, но имена SPN не зарегистрированы или не настроены должным образом, произойдет сбой репликации. |