نادلة اسم رئيسيّة [[سبن]]

حرفيّا يدور 99% من كلّ [كربروس] مشاكل حول غيرصحيح, [ميسّينغ], أو [سرفيسبرينسبلنم] مستنسخة ([سبن]). أن يكون صادقة, المفهوم من [سبن] هكذا بسيطة أنّ أحبطت أنا غالبا ب لما هم يكونون هكذا يستعصي ل كثير الناس أن يفهم. أنا أحبّ أن يفكّر في عبارات بسيطة [إينستد وف] يجعل أشياء معقّدة. هذا [كرّ-وفر] من ي [ألجبر-1] أيام عندما استعمل معلمتي أن يلتقط ال يتيح مشكلة يمكن عندما يفسّر مفهوم. فكّرت من [سبن] ك €[أوسرنم]€  يستعمل أن يعيّن برنامج (عملية) أنّ صفقات مع [أوسرنم]/كلمة سرّ. و [يوو]€ سمح [ر] فقط أن يتحدّث إلى هذا برنامج يستعمل ه €[أوسرنم]€ . فترة. بسيطة! موافقة, بئر تقريبا أنّ بسيطة. ما [أوسرنم] ([سبن]) يكون ال يصحّ واحدة? وأين نحن نثبت هو? نحن انقسمنا ال [سبن] داخل 2 أجزاء وأحيانا 3 أجزاء: هناك ال €[سرفيس] [تب]€  وال €[هوست] [نم]€  (وأحيانا ال €[بورت]€  €¦ غير أنّ لا عادة). [لت]€ يقول [س] أنا أردت أن يربط إلى عملية يدعى [برينينفوسرفيس]. وال [دن] كان اسم أن يوجّه توصيلي blah.overthere.com. بما أنّ المصممة من هذا خدمة غريبة أنا أمكن تحت مع €[سرفيس] [تب]€  براين. هكذا كان ال [سبن] [برين/بله.وفرثر.كم]. أين نحن نثبت أنّ? بسيطة, بسيطة, بسيطة. إن ي [برينينفو.إكس] عملية يكون يركض تحت €[دومينّم] \ [سمكّوونت]€  بعد ذلك [و]€ ثبت [د] ال [برين/بله.وفرثر.كم] [سبن] على €[دومينّم] \ [سمكّوونت]€ . إن عمليتي ([برينينفو.إكس]) كان ركض ك شيء مثل €[نتوورك] [سرفيس]€ , €[لوكل] [سرفيس]€ , أو €[لوكل] [سستم]€  بعد ذلك [إي]€ [د] [برين/بله.وفرثر.كم] محدّدة على الحاسوب حساب بنفسي أنّ يكون يركض أنّ عملية. إن أنت في أيّ وقت تغيّر ال [أوسرنم] أنّ يكون يركض برنامجك بعد ذلك أنت حاجة أن يزيل هو من ال [أوسرنم] أصليّة وثبتت هو على الحساب جديدة.
لماذا أنّ يربك الناس? [ولّ]€ ¦ [إي] مشبوهة هو بسبب [ألّ ث] غامضة, يضلّل, أو ببساطة دقيقة [كب] يصنّف مواد, أخبار إرسال بالبريد, أو أخرى أشكال التوثيق يعوم حوالي على الإنترنت. [أر]€ ¦ هو أمكن كنت لأنّ [رل ليف] [دوسن]€ [ت] إستعمال [سمبل نم] يحبّون €[سمكّوونت]€ .
يجعل موافقة, لذلك [لت]€ [س] هذا أكثر معقّدة ب يستعمل أكثر اسم واقعيّة. غير أنّ بينما أنا أتمّ أنّ يريد أنا أنت أن يبقي إيمان في ماذا أنا فقط فسّرت فوق يعتبر كيف بسيطة هذا مفاهيم يكونون. [ركب]. [سبن] في الشكل من [سرفيستب]/[هوستنم] وأحيانا [سرفيستب]/[هوستنم]: [بورتنومبر]. وثبتت هو على أيّ في أيّ وقت حساب يكون يعالج صحّة هويّة ل أنّ خدمة. أيضا, أنت بما أنّ مديرة [دون]€ [ت] يحصل أن يلتقط ما إذا يستعمل أنت مينة. الزبونة يتلقّى تطبيق أنّ قرار بنى [إين.]. Let’s say you’re connecting to an IIS server with a machine name of “iis-prod-01”. And let’s say the active directory domain name is “company.com.” In Internet Explorer you use an address of http://someInventedName. The “application pool” (i.e. the w3wp.exe process) is running under the account of “COMPANY\myserviceAccount”. With the knowledge that the web service’s Kerberos “service type” is “HTTP” (don’t confuse this with the browser’s protocol type) you’re probably thinking we can set an SPN of “HTTP/someInventedName” on “COMPANY\myserviceAccount”. Doh!! Sorry no. Almost, but Kerberos would probably not work with that. The problem with that idea is that you have to know how name resolution is working also. If you open a CMD prompt and ping someInventedName, it will most likely resolve to someInventedName.company.com. Therefore the SPN that “IE” will request is “HTTP/someInventedName.company.com”. IE was not programmed to request an SPN using the port so that part of the SPN is not needed nor can it ever be used. What if the ping did show the name as just “someInventedName”? Then IE would in-fact use Kerberos with an SPN of “HTTP/someInventedName” But because name resolution can be affected by many things, the key is to make sure an SPN of both “HTTP/someInventedName” and “HTTP/someInventedName.company.com” are set on the “COMPANY\myserviceAccount” account. Or the way I prefer to say that is you need to create an SPN that represents both the NetBIOS name and the Fully Qualified name. I can hear what many of you are thinking. “But I thought that KB article said to set the SPN on the computer account”. Well, yes, that would be accurate *IF* the process handling authentication was running as “SYSTEM”. If the process for that service is not running as SYSTEM then you can’t set the SPN on the computer account (well you can but Kerberos isn’t going to work).
Recap 2: An SPN should actually be in the format of ServiceType/NetBIOSName *and* ServiceType/FQDN. And we *always* set that on whatever account is running the process that is handling the authentication. Read the above paragraphs a couple times and just maintain faith that it is really that simple. Don’t complicate it with questions!!
Incidentally, I wrote an ASP.NET application that looks at all the relevant settings needed for Kerberos and Delegation to work. Currently, however, I don’t have a good public way of distributing it. If you want to quickly get your server in shape for Kerberos and Delegation, you can open a support incident with Microsoft and you can get ahold of the tool I wrote.

Written by Teus. Read more great feeds at is source WEBSITE
no comments.
Read more articles on software.

• [+] Digg: Feature this article
• [+] Del.icio.us: Bookmark this article
• [+] Furl: Bookmark this article

Related articles

• Exclusive for Windows Vista (February 18th, 2008)
• Top 10 Ubuntu-based Distributions (February 10th, 2008)
• Lock Out The Keyloggers (January 20th, 2008)
• 2008 Gaming = Vista SP1 and DirectX 10.1 (January 8th, 2008)
• Free Windows Vista Tweaks Tool (January 4th, 2008)