正在建立 ADFS 服務主體名稱 (SPN)
若要在 ADFS 上啟用整合式 Windows 鑑別 (IWA),請建立服務主體名稱 (SPN),讓 ADFS 與登入帳戶產生關聯。SPN 能讓用戶端無須登入帳戶名稱即可申請鑑別。
執行這項作業的原因和時機
如果因為已啟用 IWA,而已經有 ADFS 的 SPN,則跳過此程序。
此程序假設您是使用單一 ADFS 伺服器。如果您在聯合伺服器陣列中使用多部 ADFS 伺服器,請參閱 Microsoft 文件:「為聯合伺服器陣列手動配置服務帳戶」。
程序
- 在 Active Directory 網域控制站上,以 Windows 管理員的身分登入 Windows 網域。
-
執行下列指令以建立兩個 SPN,一個完整名稱及一個簡稱:
其中setspn -s HTTP/<dns_name> <account_name> setspn -s HTTP/<adfs_server_name> <account_name>
<dns_name>
是 ADFS 伺服器的完整網域名稱,<adfs_server_name>
是 ADFS 機器的主機名稱,<account_name>
是本端服務帳戶。註: 即使是使用 HTTPS 來存取服務,SPN 的HTTP/
部分也是正確的。 -
執行下列指令以驗證 SPN 是否適當建立:
setspn -L <server>$
範例
例如,如果網域名稱是 us.renovations.com
、ADFS 機器主機名稱是 adfs01
,而帳戶名稱是 admin
,則下列指令會建立必要的 SPN:
setspn -s HTTP/adfs01.us.renovations.com admin
setspn -s HTTP/adfs01 admin
如果您使用 LDAP 瀏覽器來檢視 Active Directory,則會看到電腦
ADFS01
。電腦帳戶名稱是 ADFS01$
,且帳戶記錄會顯示新的服務主體名稱。