В. В каком месте AD хранятся имена SPN?

О. У каждого объекта есть многозначный атрибут servicePrincipalName, в котором хранятся все имена SPN. Просмотреть атрибут можно с помощью ADSI Edit. Если SPN предназначен для локальной учетной записи System компьютера, то SPN будет храниться в атрибуте servicePrincipalName учетной записи Computers в AD. Это значение не следует записывать напрямую; оно должно обновляться только через вызов DsWriteAccountSpn (но его можно обновить напрямую с использованием таких инструментов, как ADSI Edit).

Если клиент запрашивает соединение со службой, то центр дистрибуции ключей (Key Distribution Center -- KDC) выполняет в лесу поиск учетных записей пользователей и компьютеров, для которых зарегистрирован SPN. Если KDC обнаруживает регистрацию в более чем одной учетной записи, то запрос проверки подлинности завершается неудачей, что указывает на ложную регистрацию службы.

Поделитесь материалом с коллегами и друзьями