12.1. Service Principal Name

Die erste Einstellung, die das Installationsprogramm der IDERI note Serverkomponenten vornimmt, besteht in der Ergänzung eines Service Principal Name (SPN) zum Computerobjekt des Rechners, auf dem der IDERI note Dienst installiert wird. Die Verwendung von Kerberos als Authentifizierungsprotokoll kann nur erfolgen, indem ein SPN konfiguriert wird. Beachten Sie, dass Kerberos immer NTLM vorgezogen werden sollte, da NTLM ausschliesslich die Authentifizierung von Clients gegenüber einem Server gestattet, aber keine gegenseitige Authentifizierung von Clients und Servern, wie dies bei Kerberos der Fall ist. Die Ergänzung eines SPN zu Ihrer AD-Umgebung äussert sich in der Ergänzung zum Attribut servicePrincipalName des Computerobjekts wie in Abbildung 12.1 , wo der SPN aus unserer Einführung, Abschnitt 4, gezeigt wird.

Ergänzung eines SPN zum Computerobjekt im AD

Abbildung 12.1: Ergänzung eines SPN zum Computerobjekt im AD

Das Attribut servicePrincipalName erhält zwei neue Zeichenketten, und zwar INoteSvcSpn/<computername>, wobei <computername> der NetBIOS-Name und der DNS-Name des Rechners ist. Beide SPNs werden entfernt, wenn die IDERI note Serverkomponenten von dem Rechner wieder deinstalliert werden.

Wenn Sie die Verwendung von Kerberos bei der Verbindung von Clients zum Server mit Hilfe des Registrierdatenbankwerts “KerberosOnly” (siehe Abschnitt 10.1) erzwingen wollen und die Clients weigern sich, sich mit ihrem Server zu verbinden, dann sollten Sie überprüfen, ob der SPN vorhanden ist. Falls er nicht existiert, können Sie ihn mit Hilfe des Komandozeilenparameters -regspn (siehe Abschnitt 9.2) nachinstallieren.