При работе в домене или лесе Active Directory экземпляры ADAM (Active Directory Application Mode) пытаются зарегистрировать имена участников безопасности службы (SPN) в Active Directory для использования при проверке подлинности Kerberos во время репликации. Каждый экземпляр ADAM при первом запуске пытается зарегистрировать значения в атрибуте Service-Principal-Name объекта учетной записи, который представляет учетную запись службы, используемую экземпляром ADAM. Если экземпляр ADAM использует учетную запись сетевой службы в качестве учетной записи службы ADAM, то экземпляр ADAM пытается зарегистрировать значения в атрибуте Service-Principal-Name объекта компьютера, представляющего компьютер, на котором выполняется экземпляр ADAM. Далее перечислены значения, которые пытается зарегистрировать экземпляр ADAM:

• E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM\netbiosname:port
  
  
• E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM\dnshostname:port
  
  
• Ldap\netbiosname:port
  
  
• Ldap\dnshostname:port
  
  

Кроме того, если экземпляр ADAM использует зарезервированный порт связи (LDAP_PORT, LDAP_GC_PORT, LDAP_SSL_PORT или LDAP_SSL_GC_PORT), он производит следующие попытки регистрации SPN:

• Ldap\netbiosname
  
  
• Ldap\dnshostname
  
  

Wldap32.dll не использует SPN в формате порта для создания подключения к экземпляру ADAM с помощью зарезервированного порта. Например, если экземпляр1 ADAM на компьютере1 использует порт 3268 для LDAP, то Wldap32.dll создает следующее имя SPN для подключения: ldap\компьютер1. Однако если экземпляр2 ADAM на компьютере2 использует порт 1026 для LDAP, то Wldap32.dll создает следующее имя SPN для подключения: ldap\компьютер2:1026.

	Примечание
	Если на одном компьютере выполняются несколько экземпляров ADAM, два или более из которых используют зарезервированный порт, то для правильной регистрации SPN необходимо, чтобы эти экземпляры ADAM выполнялись с общей учетной записью службы ADAM.

Попытки регистрации SPN производятся в контексте безопасности учетной записи службы ADAM. Если заданная учетная запись службы ADAM не является учетной записью сетевой службы или является учетной записью пользователя домена, не входящего в группу администраторов домена, то регистрация SPN не выполняется. ADAM отмечает эту ошибку как событие ID 2516 в журнале событий экземпляра ADAM. В случае такого сбоя программа установки ADAM также сообщает о событии ID 2535, в котором описывается процедура регистрации имен SPN для ADAM вручную.

Чтобы зарегистрировать имена SPN для ADAM в Active Directory вручную, воспользуйтесь файлом сценария имя_домена_dns.bat, который создается программой установки ADAM в каталоге данных экземпляра ADAM (Program Files\Microsoft ADAM\имя_экземпляра\data), где имя_домена_dns представляет имя домена DNS, в котором находится соответствующий экземпляр ADAM.

Примечания

• Файл BAT отображается в каталоге примерно через минуту после завершения установки ADAM.
  
  
• Файл с расширением BAT содержит команды repadmin /writespn, аналогичные командам в следующем примере:
  
  

  repadmin.exe /writespn hostname.microsoft.com 
  ADD "CN=adam,CN=Users,DC=microsoft,DC=com"
  E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM/netbioshostname:389
  
  repadmin.exe /writespn hostname.microsoft.com 
  ADD "CN=adam,CN=Users,DC=microsoft,DC=com"
  E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM/dnshostname:389
  
  repadmin.exe /writespn hostname.microsoft.com 
  ADD "CN=adam,CN=Users,DC=microsoft,DC=com" ldap/netbioshostname:389
  
  repadmin.exe /writespn hostname.microsoft.com 
  ADD "CN=adam,CN=Users,DC=microsoft,DC=com" ldap/dnshostname:389
  

Приведенный сценарий регистрирует соответствующие имена SPN в службе Active Directory. Сценарий должен выполняться членом группы администраторов домена.

	Примечание
	При регистрации имен SPN для экземпляров ADAM в службе Active Directory проверка подлинности репликации ADAM использует протокол Kerberos. В противном случае ADAM использует согласованную проверку подлинности репликации. Дополнительные сведения о проверке подлинности репликации см. в разделе Общие сведения о репликации и наборах конфигурации ADAM.

Удаление имен SPN ADAM из Active Directory

Принудительное использование SPN в среде Active Directory

Для принудительного использования имен SPN и протокола Kerberos при проверке подлинности репликации в наборе конфигурации можно изменить уровень безопасности репликации набора конфигурации на 2. Дополнительные сведения см. в разделе Изменение уровня безопасности репликации набора конфигурации.

	Внимание!
	Если задан уровень безопасности репликации 2, но имена SPN не зарегистрированы или не настроены должным образом, произойдет сбой репликации.