Kerberos在Sharepoint环境中的运用

核心提示： 你的SPN的端口号(WSS 和 MOSS的 web应用程序无端口. SQL的端口号为1433) 你的SPN的Active Directory账户 (服务和应用程序账户)为SQL通讯启用Kerberos微软公司强烈要求在安装Microsoft Sharepoint之前必须为SQL通讯启用Ke

你的SPN的端口号(WSS 和 MOSS的 web应用程序无端口. SQL的端口号为1433)

你的SPN的Active Directory账户 (服务和应用程序账户)

为SQL通讯启用Kerberos

微软公司强烈要求在安装Microsoft Sharepoint之前必须为SQL通讯启用Kerberos，以确保你的SQL通讯能正常运行。配置数据库是位于你的SQL服务器上的，如果连接失效，那么你就需要在Sharepoint网站重新运行前修复连接。如果你在初次安装时更改了身份验证，只要要先关闭Sharepoint服务以避免数据损失。

你可以这样来启用Sharepoint前端服务器间的Kerberos到你的SQL服务器:

为它配置SPN

如果你需要为其他服务模拟用户操作，则要配置信托代表

如果你只是需要验证到Sharepoint前端的客户端，而且没有其他数据连接/Excel 服务/SQL报表服务的话，那么就没有必要在SQL通讯中启用Kerberos.

在Active Directory中配置SPN

服务主题名称映射是Kerberos用来允许一个服务代表来模拟某个特定用户账户的。通常一个SPN包含一个服务类别，主机名，有时还有一个端口号。例如这种情况：HTTP/intranet.domain.local和MSSqlSvc/sql1.domain.local:1433.最好的做法就是同时注册主机名和web程序的FQDN,及时你只是打算使用其中一个。

配置服务主题名称时，你可以使用多种工具。我比较喜欢的是默认安装在Windows Server2008中的SetSPN工具。而在Windows Server2003中，你可以在安装程序CD-ROM里的支持工具中找到这种工具，或者也可以从Microsoft网站的资源工具包中下载使用。你同样可以使用ADSIedit来配置SPN，但是可能需要花费更多时间，来通过你的Active Directory导向并编辑条目以及更改他们的SPN。

注册SPN的命令: setspn.exe –A HTTP/intranet.domain.local DOMAINAccount