«Setspn -s» против «setspn -a»

В соответствии с Setspn Overview рекомендуется не использовать Setspn -Aэту запись для добавления имени участника-службы и рекомендуется использовать Setspn -Sвместо нее .

Говорят, что Setspn -Sпроверяет, существует ли SPN, прежде чем добавить новый. Setspn –Aне выполняет эту проверку.

Хотя вы можете использовать Setspn -A для добавления имени участника-службы, вы должны использовать вместо этого Setspn -S, потому что -S проверит, что дублированных имен участника-службы нет.

Однако в Windows Server 2012 я вижу , что Setspn -Sи Setspn -Aвести себя так же: если запись SPN для учетной записи существует , то я получаю отказ как с -Aи -Sаргументами.

Есть ли реальная разница между Setspn -Sи Setspn -A?

Уже нет. Вы как бы ответили на свой вопрос. Очевидно, было решено, что нет необходимости в оригинальной -A функциональности, которая больше не проверяет дубликаты ... но вы не можете просто умышленно вырывать -A, потому что кто-то где-то использует скрипт -A сломался бы.

Добавление официальной документации для поддержки моего заявления:

http://technet.microsoft.com/en-us/library/hh831747.aspx

Изменения в SetSPN

---

В Windows Server 2012 SetSPN больше не сможет регистрировать дубликаты SPN в домене. Когда SetSPN –a используется, SetSPN будет обрабатывать его как SetSPN –s.

Для получения дополнительной информации о SetSPN см. Синтаксис SetSPN SetsetsNN (SPN) в ServiceNet Wiki TechNet. Для справки по команде см. Setspn в библиотеке TechNet.