決定要對哪些帳戶指派 SPN

最佳作法是為 Active Directory 中個別指名的帳戶指派 SPN。在此情況下，帳戶必須是 Domino® 伺服器電腦本端管理員群組的成員。

在某些情況下，您可以改為指派 SPN 給預設帳戶，這是在 Active Directory 中登錄 Domino® 電腦時，對它建立的帳戶。在 Active Directory 中，此帳戶的名稱是電腦名稱（例如 domino1），在電腦上則稱為「本端系統」帳戶。如果還沒有可用的具名帳戶，或者 Windows™ 管理員不想在 Active Directory 中新增具名帳戶，則使用「本端系統」帳戶是可行的策略。

正確的 Windows™ 單一登入作業，需要僅對一個 Active Directory 帳戶指派特定 SPN。如果網路用戶端可以透過一個 URL 來存取兩個以上的 Domino® 伺服器，您必須將與該 URL 相關聯的 SPN 指派給 Domino® 伺服器共用的一個帳戶，而非指派給伺服器的預設「本端系統」帳戶。

例如，若負載平衡器會將 www.renovations.com 要求配送給伺服器 domino1 或伺服器 domino2，您必須將 www.renovations.com 的 SPN 指派給 Active Directory 的指定帳戶，讓兩部伺服器據以登入 Active Directory，而不是指派給「本端系統」帳戶。

如有下列情形，您必須將 SPN 指派給指定帳戶而非「本端系統」帳戶：

• 您的 SSO 環境使用 IP sprayer 來平衡 Domino® 伺服器之間的要求負載；
• 您的 SSO 環境是透過「網站」文件所配置，而「主控此網站的 Domino 伺服器」欄位中的多個 Domino® 伺服器會共用「對映至此網站的主機名稱或位址」欄位中列出的單一主機。