要使用 Kerberos 身份验证,某种服务必须注册其名称(称为服务主体名称 (SPN)),以及运行该服务所使用的帐户。默认情况下,Active Directory® 目录服务注册 NetBIOS 或者计算机名,并允许计算机帐户使用 Kerberos。如果要以不同帐户或使用不同名称(例如,如果计算机使用其他的 WINS 或 DNS 名)运行服务,那么您可以使用 Setspn.exe 命令行工具设置 SPN。要设置 SPN,您必须是域管理员。
Setspn.exe 命令行实用程序可以在 Windows Server 2003 CD-ROM 内的支持工具包中获得。在window2003中可以运行support tools中的suptools.msi来安装。
下面是使用 Setspn.exe 命令行实用程序的基本语法,其中“accountname”可以是单独的名称,也可以是域\名称。
setspn [parameter] accountname
Setspn.exe 可以使用下列参数:
参数
功能
示例
-R
重置 HOSTServicePrincipalName 。
setspn -R computername
-A
添加任意的 SPN。
setspn -A SPN computername
-D
删除任意的 SPN。
setspn -D SPN computername
-L
列出已注册的 SPN。
setspn -L SPN computername
下面的示例使用 Setspn.exe 命令行实用程序注册以 Domain\UserAccount 运行的应用程序池:
SETSPN.EXE -A HOST/ Domain\UserAccount
下面的示例注册 SPN“HOST/daserver1”和“HOST/{DNS of daserver1}”:
setspn -R daserver1
下面的示例为计算机“daserver1”注册 SPN“http/daserver”:
setspn -A http/daserver daserver1
下面的示例从计算机“daserver1”删除 SPN“http/daserver”:
setspn -D http/daserver daserver1
官方参考http://support.microsoft.com/kb/970536/
分享到:
相关推荐
域内网中的信息收集之一内网结构的探测 在域内网中,信息收集是非常重要的一步,对于入侵者来说,了解内网的结构是非常关键的。本文将详细介绍域内网中的信息收集之一内网结构的探测。 一、域内网信息收集的重要性...
可以使用内置工具`setspn`进行查询,通过`setspn -T domain.com -Q */*`来查找域内的SPN。 此外,还应收集DNS信息,如通过`nslookup`查询DNS服务,以及获取网络中的端口信息,了解哪些服务正在运行。同时,利用`...
工具如`setspn`、`GetUserSPNs.vbs`和`Rubeus`可以帮助扫描SPN。例如,`setspn -T domain.com -Q */*`命令可以显示域内所有注册的服务。 2. **端口连接分析**: 使用`netstat -ano`可揭示机器的通信状态,通过分析...
- 测试命令还包括`setspn -l hdp-hadoop`和`setspn -l hdp-hadoop2`。 #### 四、HDP安装 **4.1 安装属性配置** - 编写安装属性文件`clusterproperties.txt`,内容包括日志目录、数据目录等关键配置项。 - 示例...
通过SPN扫描,攻击者可以快速发现网络中的服务器和它们运行的服务,这通常使用setspn、GetUserSPNs.vbs和Rubeus等工具进行。例如,setspn工具可以通过域用户权限执行查询命令,获取网络上注册的SPN信息。 2. 利用...
使用`setspn.exe`工具,以管理员身份运行命令`SETSPN -A SAPServiceSID/doncare CHAMC.COM.CN(SAPServiceSID@CHAMC.COM.CN)`来为SAP用户账户创建SPN。 3. **添加SAP服务账户到本地管理员组**: 这一步是为了确保...
通过setspn命令设置SPN,利用kekeo工具构造和注入票据,攻击者可以模拟服务账号访问目标共享资源。 使用ADFind或PowerView同样可以查询约束委派的机器和服务账户,以便了解哪些账户被授权进行约束委派。 3. **...
具体操作涉及使用`setspn.exe`工具添加Nginx服务的SPN记录,确保KDC能正确识别并处理来自Nginx转发的请求。 #### 三、实施步骤详解 ##### 3.1 构建CAS集群 1. **安装部署CAS服务器**:根据实际需求选择合适的版本...
为了实现Web客户端的单点登录,Active Directory管理员需要使用setspn工具为AD账户分配服务主要名称(SPN)。SPN是DNS名(如www.renovations.com)与AD Kerberos领域(如AD.EAST.RENOVATIONS.COM)的组合,其格式...
- `Setspn`: 管理服务主体名称(SPN),用于进行 Kerberos 认证。 - `Nslookup`: DNS查询工具,可以用于查找特定记录类型,如 `_ldap._tcp.dc._msdcs.rootkit.org` 来定位域控制器。 2. **端口扫描**: - 关键...
- 使用相关命令创建SPN,这通常涉及到使用setspn命令行工具,具体操作需根据实际情况和域环境进行。 完成上述步骤后,NLB集群将能够有效地分配传入的请求,提高管理点(MP)的服务可用性和性能。同时,确保NLB集群...
文档的附录部分详细介绍了用于诊断Kerberos问题的各种工具,如Kerberos Configuration Manager、SetSPN命令行工具、Event Viewer等。此外,还提供了IIS Web服务器到SQL数据库委派的实例,展示了如何识别和解决常见...
你可以使用`setspn.exe`等工具来实现这一点。 导出AD用户信息,我们可以使用相同的`ldifde.exe`工具,但这次用不同的参数: ```cmd ldifde -f exported_users.ldf -d "DC=yourdomain,DC=com" -l user -r "(object...
2001-08-17 15:00 9,728 setspn.exe 2001-08-17 14:03 11,776 setx.exe 2001-08-17 14:03 59,392 showaccs.exe 2001-08-17 15:00 18,944 showperf.exe 2001-08-17 12:42 4,404 sidhist.vbs 2001-08-17 14:03 53,248 ...
### 账户非受限委派设置用户y为服务账户(服务账户有委派权限)>setspn -U -A variant/golden y查询非受限委派域内账号,使用powe
setspn -S MSSQLSvc/<servername>:<port> <domain>\ ``` - 其中`<servername>`是指实际的服务器名称,`<port>`是SQL Server监听的端口号,`<domain>`是域名称,而`<username>`则是SQL Server服务运行的账户名。 ...