Ich versuche, Kerberos für meinen SQL Server (das Domänenkonto der Datenbank-Engine) zu konfigurieren. Ich habe den folgenden Befehl ausgeführt:
SETSPN -A MSSQLSvc/MyDBServer:1433 MeineDomäne\SQLServerService
Ersetzen Sie MyDBServer durch den FQDN des Servers und MyDomain\SQLServerService durch den Namen meines Kontos.
Dann habe ich die Abfrage ausgeführt:
SELECT s.session_id, c.connect_time, s.login_time, s.login_name, c.protocol_type, c.auth_scheme, s.HOST_NAME, s.program_name FROM sys.dm_exec_sessions s JOIN sys.dm_exec_connections c ON s.session_id = c.session_id
Dies gibt NTLM zurück. Es ist also nicht Kerberos. Was übersehe ich? Die Registerkarte „Delegierung“ ist für das Konto verfügbar, daher hat das SPN-Bit einwandfrei funktioniert. Ist es nicht erforderlich, einige Einstellungen auf der Registerkarte „Delegierung“ vorzunehmen? Ich habe dies beim Einrichten von Kerberos für Sharepoint 2010 gesehen (das ich einrichten möchte).
Danke
Antwort1
Ich habe festgestellt, dass ich SPNs für unterschiedliche Syntaxen zur Beschreibung des SQL-Servers registrieren muss. Aus irgendeinem Grund verwendet SQL bei der Authentifizierung unterschiedliche Syntaxen. Registrieren Sie jedes dieser Formate.
MSSQLSvc/SqlServerName.perrigo.com:instancename
MSSQLSvc/SqlServerName:instancename
MSSQLSvc/SqlServerName.domainname.com:1433
MSSQLSvc/SqlServerName:1433
MSSQLSvc/SqlServerName.domainname.com
MSSQLSvc/SqlServerName
Antwort2
Haben Sie mit einer Verbindung auf dem lokalen Host getestet?
In einigen Localhost-Fällen scheint es einen Fallback (wahrscheinlich aus Leistungsgründen, da Sie Kerberos auf dem lokalen Computer nicht benötigen) auf NTLM zu geben, selbst wenn Sie über einen SPN verfügen.
Schauen Sie sich Folgendes an:http://blogs.msdn.com/b/sql_protocols/archive/2006/12/02/understanding-kerberos-and-ntlm-authentication-in-sql-server-connections.aspx