Um eine SPN für ein Domänenbenutzerkonto zu erstellen, verwenden Sie den Befehl setspn wie folgt:
setspn -s http/ces.msca.com msca\CESSvc
Hinweise:
- Der Kontoname lautet CESSvc.
- CES wird auf einem Computer mit einem vollqualifizierten Domänennamen (FQDN) von ces.msca.com in der Domäne msca.com ausgeführt.
Öffnen Sie das CESSvc-Domänen-Benutzerkonto im Domänencontroller.
Wählen Sie auf der Registerkarte Delegation die Option Diesem Benutzer nur für die Delegation an bestimmte Dienste vertrauen aus.
Wählen Sie die geeignete Delegation basierend auf der Authentifizierungsmethode aus.
Hinweise:
- Wenn Sie die integrierte Windows-Authentifizierung auswählen, konfigurieren Sie die Delegation so, dass nur Kerberos verwendet wird.
- Wenn der Dienst die Clientzertifikat-Authentifizierung verwendet, konfigurieren Sie die Delegation so, dass ein beliebiges Authentifizierungsprotokoll verwendet wird.
- Wenn Sie mehrere Authentifizierungsmethoden konfigurieren möchten, konfigurieren Sie die Delegation für die Verwendung eines beliebigen Authentifizierungsprotokolls.
Klicken Sie auf Hinzufügen.
Wählen Sie im Dialogfeld Dienste hinzufügenBenutzer oder Computer aus.
Geben Sie den Hostnamen des CA-Servers ein, und klicken Sie dann auf Namen prüfen.
Wählen Sie im Dialogfeld Dienste hinzufügen einen der folgenden Dienste aus, die delegiert werden sollen:
- Hostservice (HOST) für diesen CA-Server
- Remote Procedure Call System Service (RPCSS) für diesen CA-Server
Schließen Sie das Dialogfeld „Domänenbenutzereigenschaften“.