SQL Server și SPN de înregistrare dinamic (serviciu nume principal) - Blog-l kb

anteriorurmătoarea

În procesul de încărcare o instanță instalată proaspătă de SQL Server în jurnalul său poate detecta o eroare la înregistrarea SPN, în cazul în care serviciile SQL Server rula ca cont de domeniu al utilizatorului.







SQL Server și SPN de înregistrare dinamic (serviciu nume principal) - Blog-l kb

Trebuie să înregistrați SPN (NPS - Serviciul Nume principal) pentru contul de serviciu SQL Server la serviciu poate fi utilizat de autentificare folosind protocolul Kerberos.

Pentru a obține informații despre acel cont de domeniu, în numele care se execută SQL Server nu a înregistrat SPN asociat cu SQL folosind SetSPN de utilitate executa comanda de forma:

În exemplul nostru, KOM-AD01-DB03 - este numele SQL Server, și s-KOM-AD01-DB03-SQL01 - este numele unui cont de domeniu personalizat, din care executa serviciul SQL Server pe acel server.

SQL Server și SPN de înregistrare dinamic (serviciu nume principal) - Blog-l kb

După cum putem vedea, nici pe seama orice computer pe contul de utilizator nu este SPN care conține indicii MSSQLSvc

În plus față de instrumentele pe care le putem folosi SetSPN anticipate „Utilizatorii AD și Calculatoare“ (dsa.msc) activat modul de afișare a componentelor suplimentare ...

SQL Server și SPN de înregistrare dinamic (serviciu nume principal) - Blog-l kb

... deschiderea proprietăților contului corespunzător și făcând clic pe Editare filă pentru a vedea și de a modifica valoarea atributului servicePrincipalName Atributele







SQL Server și SPN de înregistrare dinamic (serviciu nume principal) - Blog-l kb

Caracteristici funcționează cu autentificarea Kerberos în SQL Server (în special managementul SPN) sunt discutate în articolul KB319723 - Cum să utilizați autentificarea Kerberos în SQL Server

1) Crearea înregistrarea necesară SPN manual folosind utilitarul SetSPN
Sintaxa comenzii este următoarea:

2) Activați contul în numele căruia se execută SQL Server, dinamic atributul de actualizare servicePrincipalName. emiterea de permisiuni pentru a citi și scrie atributul.

Pentru a efectua a doua opțiune, deschide snap Adsiedit.msc. trece la proprietățile obiectului - cont. Pe „Securitate“ (Securitate) Knop Faceți clic pe lângă „Advanced“ (Avansat)

SQL Server și SPN de înregistrare dinamic (serviciu nume principal) - Blog-l kb

În caseta de dialog „Advanced Security Settings» (Advanced Security Settings) faceți clic pe lângă butonul „Adauga» (Adaugă) ...

SQL Server și SPN de înregistrare dinamic (serviciu nume principal) - Blog-l kb

... introducă sine și în fereastra care se deschide în mișcare pe tab-ul „Properties» (Proprietăți). Alegerea ferestrei aplicației, selectați „Numai acest obiect» (numai acest obiect) și la lista de permisiuni, observăm două puncte:

  • Citește servicePrincipalName
  • scrie servicePrincipalName

SQL Server și SPN de înregistrare dinamic (serviciu nume principal) - Blog-l kb

Salvați modificările și apoi, atunci când este pornit serviciul SQL Server, putem să ne asigurăm că a existat o evidență a creării cu succes a SPN în jurnalul de evenimente

SQL Server și SPN de înregistrare dinamic (serviciu nume principal) - Blog-l kb

precum și vom vedea că producția de utilitate SetSPN schimbat ...

SQL Server și SPN de înregistrare dinamic (serviciu nume principal) - Blog-l kb







anteriorurmătoarea