Normalmente, quando você configura o Kerberos para o IIS, você faria algo como setspn -A HTTP/machine some_account . Quando o IIS 7 é instalado, ele registra o SPN "HOST / machine" para sua autenticação no modo kernel. Por que isso funciona? É "HOST" algum tipo de SPN pega-tudo que corresponde quando não há nenhum SPN específico do protocolo (por exemplo, "HTTP") registrado? Porque o cliente ainda irá especificar o HTTP SPN em seus pedidos TGT, certo?
(Desculpe se esta é uma pergunta simples, "HOST" é um termo previsivelmente difícil para o google)
O HOST é uma captura de todos os vários SPNs. Eles são determinados pelo campo SPNmappings em CN = Serviço de Diretório, CN = Windows NT, CN = Serviços, CN = Configuração, DC = MyDC, DC = com em seu AD usando ADSIEdit.msc
Veja este site para mais informações O problema com os SPNs duplicados - título de trabalho alternativo… KB321044 ++
E eu não esqueço:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com