Affectation de noms principaux de service à l'aide de l'utilitaire setspn

L'administrateur Active Directory se sert de l'utilitaire setspn.exe pour définir les noms DNS requis dans les adresses URL en tant que noms principaux de service dans un compte Active Directory. Pour définir les noms principaux de service dans un compte, l'administrateur Active Directory doit appartenir au groupe des administrateurs du domaine ou à celui des administrateurs de l'entreprise, ou bien il doit disposer de l'autorisation Ecriture validée vers le nom principal du service.

Pourquoi et quand exécuter cette tâche

L'administrateur Active Directory effectue les étapes suivantes :

Remarque : Si vous avez eu recours à l'utilitaire domspnego.cmd, ce dernier a généré un fichier de commandes de sortie contenant des suggestions de commandes setspn que l'administrateur Active Directory peut utiliser pour définir les noms principaux de service.

Procédure

  1. Vérifiez que le serveur HCL Domino® dispose d'une configuration DNS (Domain Name System) valide. Par exemple :

    Saisissez la commande suivante afin de vérifier que le DNS peut obtenir l'adresse IP du nom du service Domino® :

    nslookup service_fully_qualified_domain_name

    Saisissez la commande suivante afin de vérifier que le DNS peut obtenir le nom qualifié complet du service Domino® :

    nslookup domino_server_ip_address
    Remarque : Vous pouvez accéder à votre serveur Domino® à l'aide d'un alias DNS. Dans ce cas, vous devez définir un nom principal de service pour l'alias. La fin de cette rubrique fournit des informations supplémentaires à ce sujet.
  2. Vérifiez que l'utilitaire setspn.exe est installé, par exemple dans le répertoire C:\Program Files\Support Tools. Si tel n'est pas le cas, installez-le à partir du module Outils de support de Windows disponible sur les CD de Windows ou sur le site de téléchargement de Microsoft.
  3. Exécutez la commande suivante pour définir chaque nom d'hôte DNS que vous avez enregistré dans la procédure précédente en tant que nom principal de service dans le compte Active Directory de votre choix. Spécifiez HTTP/ y compris pour les adresses URL de type HTTPS. 
    setspn -a HTTP/dns_name account name

    dns_name correspond à un nom d'hôte DNS enregistré à l'étape précédente, et

    account name est le compte que le serveur Domino® utilise lors de la connexion du service Domino® Windows. Si vous utilisez le compte Système local, le nom du compte est le nom simple de l'ordinateur sur lequel Domino® est exécuté, par exemple domino1.

    Remarque : Affectez un nom principal de service spécifique à un seul compte. La connexion unique Windows pour les clients Web ne fonctionne pas si un seul nom principal de service est affecté à plusieurs comptes.
  4. Utilisez la commande setspn pour vérifier que le nom principal de service est correctement défini : 
    setspn -l account name

Résultats

Pour supprimer un nom principal de service sur un compte, utilisez la commande setspn avec le commutateur -d au lieu du commutateur -a. Par exemple, vous pouvez le faire pour supprimer un nom principal de service sur un compte avant de l'affecter à un autre compte. N'oubliez pas qu'un nom principal de service ne peut être affecté qu'à un seul compte.

Détermination de l'accès à votre serveur Domino® à l'aide d'un alias DNS

Pourquoi et quand exécuter cette tâche

Vous pouvez accéder à votre serveur Domino® à l'aide d'un alias. Un enregistrement CNAME (nom canonique) dans DNS peut définir un alias. Dans certains cas, le navigateur du client peut utiliser DNS pour convertir un alias CNAME en nom d'hôte lors de la définition du nom principal de service pour lequel un service Kerberos est demandé. Dans ce cas, un nom principal de service doit être défini pour le nom d'hôte représenté par l'alias.

Pour rechercher les paramètres DNS correspondant aux alias utilisés pour votre serveur Domino®, utilisez la commande nslookup en mode interactif avec des paramètres de débogage (set d2) au niveau de l'invite de commande. Par exemple, pour obtenir des informations sur le DNS contenant le nom d'hôte dérivé de l'alias www.audimatique.com, entrez : 

C:\>nslookup 
> set d2 
> www.renovations.com

Si le résultat de la commande nslookup identifie www.renovations.com comme un alias CNAME pour le nom d'hôte server3.ad.east.renovations.com, vous devez disposer d'un nom principal de service pour HTTP/server3.ad.east.renovations.com.