Aktualisieren der Windows-Domänenkonfiguration

Um FME Flow für die Verwendung der Single-Sign-On-Authentifizierung zu konfigurieren, muss die Windows-Domäne FME Flow als Domänendienst erkennen. Es sind drei Schritte erforderlich:

  1. Stellen Sie FME Flow als Domänendienst dar, indem Sie ihm einen Dienstprinzipalnamen (SPN) zuweisen.
  2. Registrieren Sie den SPN (oder die SPNs) beim Dienstkonto.
  3. Stellen Sie sicher, dass für das Dienstkonto eine Kerberos-Vorauthentifizierung erforderlich ist.

A) Vergeben Sie einen Dienstprinzipalnamen

Ein SPN hat die Form: <service>/<host>:

<Service> ist der Diensttyp. Im Zusammenhang mit FME Flow ist dies http.

<host> ist der Name des Computers, auf dem sich der Web Application Server von FME Flow befindet. Um Flexibilität zu gewährleisten, empfehlen wir, sowohl die nicht qualifizierte als auch die vollständig qualifizierte Version des Hostnamens zuzuweisen.

Hinweis  Wenn FME Flow für den Zugriff über einen DNS-Alias (CNAME) konfiguriert ist, müssen SPNs auch über diesen Alias registriert werden.

So erhalten Sie die nicht qualifizierten und vollständig qualifizierten Versionen des Hostnamens:

  1. Klicken Sie auf dem FME Flow-Hostcomputer im Windows Explorer mit der rechten Maustaste auf 'Dieser PC' und wählen Sie 'Eigenschaften'.
  2. Den nicht qualifizierten Hostnamen finden Sie unter 'Computername'.
  3. Den vollständig qualifizierten Hostnamen finden Sie unter 'Vollständiger Computername'.

Wenn der unqualifizierte Hostname beispielsweise "MyETLServer" und der vollständig qualifizierte Hostname "MyETLServer.domain.net" lautet, ergeben sich folgende SPNs:

  • http/MyETLServer
  • http/MyETLServer.domain.net

Registrieren Sie den SPN (oder die SPNs) beim Dienstkonto.

  1. Öffnen Sie vom Domänencontroller aus eine Eingabeaufforderung (cmd.exe) über das Startmenü.
  2. Geben Sie setspn -S <spn> <account> ein, um den SPN auf dem Dienstkonto zu registrieren.
  3. Stellen Sie sicher, dass der Befehl mit der Nachricht 'Aktualisiertes Objekt' erfolgreich war. Wenn die Meldung "Konto nicht gefunden ..." angezeigt wird, wurde der Kontoname falsch angegeben.
  4. Wiederholen Sie diesen Vorgang, bis alle SPNs hinzugefügt sind.

Wenn Sie beispielsweise die SPNs im vorherigen Beispiel verwenden und das Dienstkonto "fmeflowadmin" lautet, würden die folgenden Befehle eingegeben:

setspn -S http/MyETLServer fmeflowadmin

setspn -S http/MyETLServer.domain.net fmeflowadmin

C) Stellen Sie sicher, dass das Dienstkonto eine Kerberos-Vorauthentifizierung erfordert:

  1. Öffnen Sie vom Domänencontroller aus über das Startmenü "Active Directory-Benutzer und -Computer".
  2. Navigieren Sie in der Konsolenstruktur zum Dienstkonto.
  3. Klicken Sie mit der rechten Maustaste auf das Dienstkonto und wählen Sie "Eigenschaften".
  4. Wählen Sie die Registerkarte "Konto".
  5. Blättern Sie unter "Kontooptionen" nach unten und stellen Sie sicher, dass "Keine Kerberos-Präauthentifizierung erforderlich" deaktiviert ist.
  6. Klicken Sie auf OK.