setspn ユーティリティを使用して SPN を割り当てる

Active Directory の管理者は、setspn.exe ユーティリティを使用して、URL の必須 DNS 名を Active Directory アカウントの SPN として定義します。Active Directory 管理者がアカウントに SPN を定義する場合、Domain Admins グループまたは Enterprise Admins グループに属しているか、サービスプリンシパル名の有効な書き込み許可を持っている必要があります。

このタスクについて

Active Directory の管理者は、以下の手順を実行する必要があります。

注: domspnego.cmd ユーティリティを使用した場合、Active Directory 管理者が SPN の定義に使用する推奨 setspn コマンドが記述された出力コマンドファイルが生成されます。

手順

  1. HCL Domino® サーバーに有効なドメインネームシステム (DNS) 設定が定義されていることを確認します。例:

    次のコマンドを入力して、DNS が Domino® サービス名の IP アドレスを取得できることを確認します。

    nslookup service_fully_qualified_domain_name

    次のコマンドを入力して、DNS が Domino® サービスの完全修飾名を取得できることを確認します。

    nslookup domino_server_ip_address
    注: DNS の別名を使用して Domino® サーバーにアクセスされる可能性があります。その場合には、この別名で SPN を定義する必要があります。このトピックの末尾にある追加情報を参照してください。
  2. setspn.exe が、例えば C:\Program Files\Support Tools などにインストールされているか確認します。インストールされていない場合は、Windows CD に付属の Windows サポートツールパッケージまたは Microsoft ダウンロードサイトからこのツールをインストールしてください。
  3. 次のコマンドを実行して、選択された Active Directory アカウントの SPN として前の手順で記述した各 DNS ホスト名を定義します。HTTPS URL を含め、HTTP を指定します。
    setspn -a HTTP/dns_name account name

    ここで、

    dns_name は、前の手順で記述した dns ホスト名です。また、

    account name は、Domino® Windows サービスのログオンで Domino® サーバーが使用するアカウントです。ローカルシステムアカウントを使用する場合は、Domino® を実行するコンピュータの簡易名 (domino1 など) をアカウント名として指定します。

    注: 1 つのアカウントに対して 1 つの SPN を割り当てます。1 つの SPN を複数のアカウントに割り当てると、Web クライアントが実行する Windows シングルサインオンが正常に機能しなくなります。
  4. 次のように setspn コマンドを実行して、SPN が適切に定義されたことを確認します。 
    setspn -l account name

タスクの結果

アカウントから SPN を削除するには、setspn コマンドに -a スイッチではなく -d スイッチを指定して実行します。例えば、SPN をあるアカウントから削除して別のアカウントに割り当てる場合、このように指定します。SPN 1 つに対して 1 つのアカウントしか割り当てられないことに注意してください。

DNS の別名を使用して Domino® サーバーにアクセスされるかどうかを判断する

このタスクについて

Domino® サーバーは別名を使用してアクセスされる可能性があります。DNS では、CNAME (正規名) レコードで別名を定義できます。一部のシナリオでは、Kerberos サービスチケットを要求する SPN を判断するときに、クライアントブラウザは DNS を使用してホスト名に対する CNAME 別名を解決することができます。この場合には、別名が表す解決されたホスト名に対して定義された SPN が必要です。

Domino® サーバーによって使用される別名の DNS 設定を調べるには、コマンドプロンプトからインタラクティブモードで nslookup コマンドを使用し、デバックオプション (set d2) を設定します。例えば、別名 www.renovations.com を解決して得られるホスト名を含む DNS 情報を確認するには、以下を入力します。 

C:\>nslookup 
> set d2 
> www.renovations.com

nslookup の出力から www.renovations.com がホスト名 server3.ad.east.renovations.com の CNAME 別名であることが判明した場合は、HTTP/server3.ad.east.renovations.com の SPN が必要になります。