サービス プリンシパル名はクライアントがサービスのインスタンスを一意的に特定するための名前で、サービスが実行するセキュリティ コンテキストのセキュリティ プリンシパル (ユーザ、ホスト、またはレルムのサービス) に関連付けられています。
複数の子ドメインを実行している場合でも、定義する必要があるのは親ドメインのサービス プリンシパルだけです。親ドメイン レベルで定義されているこの DHCP サービス プリンシパルは子ドメインでも使用されます。
Kerberos レルムの DHCP サービス プリンシパルを定義するには:
-
構成ドロップダウン メニューから、構成の 1 つを選択します。
-
次のいずれかのタブを選択します。[IP 空間]、[DNS]、[デバイス]、[TFTP]、または [サーバ]。タブは最後に作業したページを記憶するので、もう一度タブを選択して、[構成情報] ページにいることを確認します。
-
[Kerberos レルム] タブを選択します。[Kerberos レルム] で、 Kerberos レルムの名前をクリックします。
-
[サービス プリンシパル] タブをクリックし、[新規] をクリックします。
-
[一般] で、名前、鍵バージョン番号、およびパスワードを設定します。
- 名前: Windows 構成セクションの [ユーザ ログオン名] に定義された Kerberos サービス プリンシパルの名前を入力します。サービス プリンシパル名の典型的な構文は primary/instance です。[プライマリ] は、ユーザ名またはサービス名のどちらかです。[インスタンス] は、ユーザの資格情報の使用目的またはホストの完全修飾ホスト名を説明するなど、プライマリに条件を付ける情報を提供します。例:DHCP/dhcp1.bcn.com
- 鍵バージョン番号: プリンシパルの Kerberos 鍵に対して Windows DC の ADSI Edit に表示される msDS-KeyVersionNumber 属性値を入力します。ktpass コマンドを使用する場合、鍵バージョン番号 (vno#) 値を .keytab ファイルの出力で見つけることができます。
- パスワード: プリンシパルの Kerberos パスワードを入力します。これは、Windows DC で作成された AD ユーザ アカウント パスワードです。
-
特定の KDC をサービス プリンシパルに割り当てるには、[KDC] で [レルム KDC のオーバーライド] チェックボックスをオンにします。チェックボックスをオフにして、使用可能なすべての KDC が順番に割り当てられるようにします。
-
必要に応じて [変更管理] で、コメントを追加します。
-
[追加] をクリックします。