Обычно, когда вы настраиваете Kerberos для IIS, вы делаете что-то вроде setspn -A HTTP/machine some_account. Когда IIS 7 установлен, он регистрирует SPN «HOST / machine» для аутентификации в режиме ядра. Почему это работает? Является ли "HOST" своего рода универсальным SPN, которое соответствует, когда не зарегистрировано SPN для конкретного протокола (например, "HTTP")? Потому что клиент по-прежнему будет указывать HTTP SPN в своих запросах TGT, верно?
(Извините, если это простой вопрос, термин "ХОЗЯИН" предсказуемо сложен для Google)
HOST - это уловка для нескольких SPN. Они определяются полем SPNmappings в CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = MyDC, DC = com в вашем AD с помощью ADSIEdit.msc.
См. Этот сайт для получения дополнительной информации Проблема с повторяющимися SPN - альтернативное рабочее название… KB321044 ++
И поэтому я не забываю:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com