SPN を割り当てる Active Directory アカウントを特定する

Active Directory の個別の名前付きアカウントに SPN を割り当てることをお勧めします。この場合のアカウントは、Domino® サーバーコンピュータのローカル管理者グループのメンバーである必要があります。

一部のシナリオでは、Domino® コンピュータを Active Directory に登録した際に作成されたデフォルトのアカウントに対して、SPN を割り当てることができます。このアカウント名は、Active Directory 内ではコンピュータ名 (domino1 など) を表し、コンピュータ上ではローカルシステムアカウントを表す名前になります。使用できる名前付きアカウントが存在しない場合や Windows™ 管理者が名前付きアカウントを Active Directory に追加することを望んでいない場合には、ローカルシステムのアカウントを使用することもできます。

Windows™ シングルサインオンが正しく機能するためには、各 Active Directory アカウントに対して固有の SPN を 1 つだけ割り当てる必要があります。1 つの URL で複数の Domino® サーバーにアクセスできる Web クライアントの場合、この URL に関連付けられている SPN を、複数の Domino® サーバーが共有している 1 つのアカウントに割り当てる必要があります。この SPN を、サーバーのデフォルトのローカルシステムアカウントに割り当てないでください。

たとえば、www.renovations.com への要求を、ロードバランサによってサーバー domino1 またはサーバー domino2 のいずれかに分散する場合、両サーバーが Active Directory へのログオンに使用する Active Directory の名前付きアカウントに対して、www.renovations.com の SPN を割り当てる必要があります。ローカルシステムアカウントには割り当てないでください。

以下の場合、ローカルシステムアカウントではなく、名前付きアカウントに SPN を割り当てる必要があります。

• SSO 環境で、Domino® サーバー間での要求の負荷分散に IP スプレーヤを使用する場合。
• Web サイト文書経由で SSO 環境を設定している場合。この文書では、[このサイトをホストとする Domino server] フィールドで指定されている複数の Domino® サーバーが、[ホスト名またはこのサイトにマップされたアドレス] フィールドにリストされている単一ホストを共有するように設定されています。