Ein Service Principal Name (SPN) ist eine eindeutige Kennung in einem Active Directory, die einem Dienst oder einer Anwendung zugeordnet ist. Ein SPN ist einem einzelnen Service Account zugeordnet.
SPNs spielen eine entscheidende Rolle in der Kerberos-Authentifizierung, einem Protokoll, das in Windows-Umgebungen zur Sicherstellung der Netzwerksicherheit verwendet wird. Ein einzelner Service Principal Name (SPN) kann nur einem Service Account in einem Active Directory (AD) zugeordnet sein. Der Zweck eines SPNs ist es, einen spezifischen Dienst auf einem bestimmten Server zu identifizieren.
Ein SPN besteht i.d.R aus 3 Teilen.
// <service>/<principal>@<realm> HTTP/www.example.com@example.com
# Anzeigen setspn -l servername // List # Hinzufügen setspn -a HTTP/servername.domain.local servername // Ohne Duplikatprüfung setspn -s HTTP/servername.domain.local servername // Mit Duplikatprüfung # Löschen setspn -d HTTP/servername // delete
SPN eines Computer/User anzeigen
Get-ADComputer -Identity Computername -Properties ServicePrincipalName