setspn 유틸리티를 사용하여 SPN 할당

Active Directory 관리자는 setspn.exe 유틸리티를 사용하여 Active Directory 계정의 SPN으로 URL에 있는 필수 DNS 이름을 정의합니다. 계정에서 SPN을 정의하려면 Active Directory 관리자가 Domain Admins 그룹 또는 Enterprise Admins 그룹에 속해야 하거나 Service Principal Name에 대해 검증된 쓰기 권한을 가지고 있어야 합니다.

이 태스크 정보

Active Directory 관리자는 다음 단계를 수행합니다.

주: domspnego.cmd 유틸리티를 사용한 경우, 이 유틸리티는 Active Directory 관리자가 SPN을 정의하는 데 사용할 수 있도록 제안된 setspn 명령이 있는 출력 명령 파일을 생성합니다.

프로시저

  1. HCLDomino® 서버의 DNS(Domain Name System) 구성이 적합한지 확인합니다. 예를 들어, 다음과 같습니다.

    다음 명령을 입력하여 DNS가 Domino® 서비스 이름의 IP 주소를 검색할 수 있는지 확인합니다.

    nslookup service_fully_qualified_domain_name

    다음 명령을 입력하여 DNS가 Domino® 서비스의 완전한 이름을 검색할 수 있는지 확인합니다.

    nslookup domino_server_ip_address
    주: DNS 별명을 통해 Domino® 서버에 액세스할 수 있습니다. 이럴 경우 별명에 대한 SPN을 정의해야 합니다. 이 항목의 끝에 있는 추가 정보를 참조하십시오.
  2. setspn.exeC:\Program Files\Support Tools 등에 설치되어 있는지 확인합니다. 설치되어 있지 않으면 Windows CD에 있거나 Microsoft 다운로드 사이트에서 다운로드할 수 있는 Windows 지원 도구 패키지에서 해당 파일을 설치합니다.
  3. 다음 명령을 실행하여 앞의 절차에서 기록한 각 DNS 호스트 이름을, 선택한 Active Directory 계정의 SPN으로 정의할 수 있습니다. HTTP/HTTPS URL 지정 
    setspn -a HTTP/dns_name account name

    여기서,

    dns_name 앞의 절차에서 기록한 DNS 호스트 이름이며,

    account nameDomino® Windows 서비스가 로그온할 때 Domino® 서버가 사용하는 계정입니다. 로컬 시스템 계정을 사용하는 경우 계정 이름은 Domino®를 실행하는 컴퓨터의 단축명입니다(예: example domino1).

    주: 특정 SPN을 하나의 계정에만 할당합니다. 웹 클라이언트를 위한 Windows 싱글 사인온은 하나의 SPN이 둘 이상의 계정에 할당될 경우 작동하지 않습니다.
  4. setspn 명령을 사용하여 SPN이 올바로 정의되었는지 확인합니다. 
    setspn -l account name

결과

계정에서 SPN을 삭제하려면 -a 스위치가 아닌 -d 스위치와 함께 setspn 명령을 사용합니다. 예를 들어 SPN을 다른 계정에 할당하기 전에 한 계정에서 SPN을 삭제할 수도 있습니다. SPN은 하나의 계정에만 할당될 수 있습니다.

DNS 별명을 통해 Domino® 서버에 액세스했는지 확인

이 태스크 정보

별명을 통해 Domino® 서버에 액세스할 수 있습니다. DNS에서 CNAME(표준 이름) 레코드가 별명을 정의할 수 있습니다. 일부 시나리오에서는 클라이언트 브라우저가 Kerberos 서비스 티켓을 요청할 SPN을 확인할 때 DNS를 사용하여 호스트 이름에 대한 CNAME 별명을 확인할 수 있으며, 이 경우 별명이 나타내는 확인된 호스트 이름에 대해 정의된 SPN이 필요합니다.

Domino® 서버에서 사용하는 별명에 대해 DNS 설정을 조사하려면 명령 프롬프트에서 디버그 설정(set d2)을 사용한 대화식 모드에서 nslookup 명령을 사용합니다. 예를 들어 별명 www.renovations.com이 확인되는 호스트 이름을 포함하는 DNS 정보를 확인하려면 다음을 입력하십시오. 

C:\>nslookup 
> set d2 
> www.renovations.com

nslookup 출력에서 www.renovations.com을 호스트 이름 server3.ad.east.renovations.com의 CNAME 별명으로 식별하면 HTTP/server3.ad.east.renovations.com에 대한 SPN이 필요합니다.