為 Web 伺服器上的多個服務帳戶生成 SPN

我正在嘗試在我的組織中實現 Azure SSO。我有一個 Web 伺服器，在這些站點下託管多個網站和 Web 應用程序。使用者以以下方式訪問它們

https:// < SiteName > / < ApplicationName > /

我們為不同的應用程序配置了一個服務帳戶，這意味著我有多個服務帳戶用於單個“網站”，並且相同的服務帳戶用於不同的應用程序。

現在要實現 Azure SSO，我必須為我的服務帳戶配置 SPN，並且按照微軟的規定，相同的 spn 不能分配給多個服務帳戶。

配置 spn 我們有以下命令

Setspn –S HTTP/NETBIOS_NAME_OF_IIS_SERVER domain\username
Setspn –S HTTP/FQDN_OF_IIS_SERVER domain\username

如何為所有服務帳戶分配相同的 FQDN/NetBIOS 名稱？

即使我為我的網站使用 DNS 名稱，我仍然必須將相同的 spn 分配給多個服務帳戶。

是的，這是 SPN 的一個基本問題，在單個伺服器上，一個 URL 不能有多個 SPN。因此，在您的不同應用程序在單個網站下執行並且您需要使用委託或 SSO 的情況下，它們都必須使用相同的服務帳戶執行，因此您可以為該 URL 註冊一個 SPN。

如果這不可能，您需要在不同 URL 下的同一伺服器上使用不同的服務帳戶託管您的應用程序（假設您為 URL 設置了 SPN），或者如果您僅限使用伺服器名稱，則需要使用不同的伺服器

引用自：https://serverfault.com/questions/901777