Windows 活动目录 (AD) 域控制器包含活动目录数据库并运行 Kerberos 分发中心服务。Kerberos 认证信息存储于活动目录中。因此,必须首先在活动目录中定义用户帐户和服务主体。
Windows 配置包括在活动目录中为托管 DHCP 服务器创建用户帐户并将服务主体名称映射到用户帐户。
注: 服务主体名称是客户端唯一标识服务实例的名称,并与服务执行的安全上下文所属的安全主体(域中的用户、主机或服务)相关联。
必须在服务实例用于登录的帐户对象上注册服务主体名称,Kerberos 验证服务才能使用服务主体名称对服务进行验证。
需要为符合安全策略的每个 DNS/DHCP 服务器 创建一个用户帐户和用户主体名称。
有关服务主体名称 (SPN) 的更多信息,请参阅以下 URL:http://msdn.microsoft.com/en-us/library/windows/desktop/ms677949%28v=VS.85%29.aspx
注: 配置和管理 Kerberos 服务超出了本指南的范围。有关 Kerberos 概念和配置的信息,请参阅 Kerberos 文档。
以下部分介绍完成 Windows 服务器配置所需的步骤。
注: 应已安装并定义了运行活动目录和 DNS 服务器角色的 Windows 服务器。