创建 ADFS 服务主体名称 (SPN)
要在 ADFS 上启用集成 Windows 认证 (IWA),请创建服务主体名称 (SPN),以将 ADFS 与登录帐户进行关联。SPN 允许客户机在没有登录帐户名的情况下请求认证。
关于此任务
如果由于已启用 IWA,已经有用于 ADFS 的 SPN,请跳过此过程。
此过程假定您使用单个 ADFS 服务器。如果在联合服务器场中使用多个 ADFS 服务器,请参阅 Microsoft 文档手动为联合服务器场配置服务帐户。
过程
- 在 Active Directory 域控制器上,以 Windows 管理员身份登录 Windows 域。
-
运行以下命令以创建两个 SPN,一个标准名称和一个短名称:
其中setspn -s HTTP/<dns_name> <account_name> setspn -s HTTP/<adfs_server_name> <account_name><dns_name>是 ADFS 服务器的标准域名,<adfs_server_name>是 ADFS 计算机的主机名,<account_name>是本地服务帐户。注: 即使使用 HTTPS 访问该服务,SPN 的HTTP/部分也是正确的。 -
运行以下命令来验证是否正确创建了 SPN:
setspn -L <server>$
示例
例如,如果域名是 us.renovations.com,ADFS 计算机主机名是 adfs01,帐户名是 admin,则以下命令将创建所需的 SPN:
setspn -s HTTP/adfs01.us.renovations.com admin
setspn -s HTTP/adfs01 admin如果使用 LDAP 浏览器查看 Active Directory,则会看到计算机
ADFS01。计算机帐户名是 ADFS01$,并且帐户记录显示新的服务主体名称。