Przejdź do głównej zawartości
Komendy

setspn

Komenda setspn służy do zarządzania nazwami SPN (Service Principal Name) w Active Directory. SPN identyfikują instancje usług, które mogą używać uwierzytelniania Kerberos. Administratorzy wykorzystują to polecenie do rejestrowania, usuwania i sprawdzania SPN przypisanych do kont usługowych i komputerowych.

Dostępna jest w systemach Windows Server (2003 i nowszych) oraz w pakietach administracyjnych RSAT na systemach klienckich Windows.

Składnia

Dział zatytułowany „Składnia”
setspn [opcje] <nazwa_konta>

Najczęściej używane polecenia:

  • -A <SPN> – dodaje SPN do wskazanego konta.
  • -D <SPN> – usuwa SPN z konta.
  • -L – wyświetla wszystkie SPN przypisane do konta.
  • -Q <SPN> – wyszukuje SPN w domenie, aby sprawdzić, czy jest unikalny.
  • -X – wykrywa duplikaty SPN w domenie.

Parametry

Dział zatytułowany „Parametry”
ParametrOpis
-A <SPN>Dodaje SPN w formacie usługa/host[:port] (np. HTTP/server01.contoso.local).
-D <SPN>Usuwa SPN ze wskazanego konta.
-L <konto>Listuje wszystkie SPN powiązane z kontem.
-Q <SPN>Szuka w katalogu SPN, aby upewnić się, że nie ma konfliktów lub duplikatów.
-XSprawdza duplikaty SPN w domenie i zgłasza konflikty.
  • SPN przypisuje się zwykle do kont usługowych (np. używanych przez IIS, SQL Server).
  • Każdy SPN musi być unikalny w obrębie domeny AD.

Przykłady użycia

Dział zatytułowany „Przykłady użycia”
Okno terminala
# Wyświetlenie wszystkich SPN dla konta svc_sql
setspn -L svc_sql


# Dodanie SPN dla SQL Server działającego na porcie domyślnym
setspn -A MSSQLSvc/db01.contoso.local:1433 svc_sql


# Usunięcie SPN z konta
setspn -D HTTP/web01.contoso.local svc_web


# Wyszukanie SPN w domenie
setspn -Q HTTP/web01.contoso.local


# Sprawdzenie duplikatów SPN w domenie
setspn -X

Uwagi

Dział zatytułowany „Uwagi”
  • Wymaga uruchomienia w kontekście administratora domeny.
  • SPN są kluczowe dla uwierzytelniania Kerberos – błędne ustawienia mogą powodować problemy z logowaniem do usług.
  • W dużych środowiskach warto regularnie sprawdzać SPN pod kątem duplikatów (-X).

Najczęściej spotykane błędy i jak je naprawić

Dział zatytułowany „Najczęściej spotykane błędy i jak je naprawić”
Błąd / KomunikatPrzyczynaRozwiązanie
Insufficient access rights to perform the operationKonto nie ma wymaganych uprawnień.Użyj konta z uprawnieniami administratora domeny.
Duplicate SPN foundSPN istnieje w domenie więcej niż raz.Usuń lub popraw duplikat za pomocą setspn -D lub zmień konfigurację usługi.
The specified SPN is invalidBłędny format SPN lub literówka w nazwie hosta/usługi.Popraw format (np. usługa/host[:port]).