确定 SPN 分配的目标帐户

将 SPN 分配给 Active Directory 中某个独立的、已命名的帐户上的最佳做法。在此情况下，帐户必须是 Domino® 服务器计算机上本地管理员组的成员。

但在某些情况下，可以将 SPN 分配给计算机注册到 Domino® 时为其创建的缺省帐户。在 Active Directory 中，此帐户名就是计算机名（例如，domino1），而在计算机上，它指的是本地系统帐户。如果没有可用的指定帐户或 Windows™ 管理员不希望将指定帐户添加到 Active Directory，那么使用本地系统帐户是一种可行的策略。

正确的 Windows™ 单点登录操作要求一个特定的 SPN 只能分配给一个 Active Directory 帐户。如果 Web 客户机可以通过一个 URL 访问两个或两个以上的 Domino® 服务器，那么必须将与该 URL 相关联的 SPN 分配给这些 Domino® 服务器共享的一个帐户，而不是分配给服务器的缺省本地系统帐户。

例如，如果负载均衡器将对 www.renovations.com 的请求分发到服务器 domino1 或服务器 domino2，那么必须将 www.renovations.com 的 SPN 分配给 Active Directory 中指定帐户。此帐户必须是这两个服务器登录到 Active Directory 时共用的账户，而不是本地系统帐户。

如出现以下情况，必须将 SPN 分配给指定帐户而不是本地帐户：

• SSO 环境中使用 IP Sprayer 在 Domino® 服务器之间对请求进行负载均衡。
• SSO 环境通过“Web 站点”文档进行配置，文档中托管此站点的 Domino 服务器字段中的多个 Domino® 服务器共享映射到此站点的主机名或地址字段中列出的单一主机。