Jump to content

Kein Berechtigungseintrag für den SPN vorhanden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe einen SQL-Server 2014 SP2 CU5 (auf Windows Server 2016) in einer AD-Domäne (Windows Server 2016) als Mitgliedsserver. Ich möchte das die Dienste des SQL-Servers als Domänenuser ausgeführt werden. Wenn ich dem Domänenuser sqldb01 nun unter seinen Kontoeinstellungen im Reiter Sicherheit -> Erweitert -> Berechtigungen -> Hinzufügen den Benutzer SELBST als Principal angebe so hat dieser die Eigenschaft "servicePrincipalName lesen" und "servicePrincipalName schreiben" nicht. Setze ich dann manuell den SPN mittels

setspn -A MSSQLSvc/dbserver.domain.de sqldb01

und starte die Standardinstanz neu erscheint durch die Abfrage von

select auth_scheme from sys.dm_exec_connections where session_id=@@spid

immer noch der Wert NTLM. Im Attribut-Editior unter servicePrincipalName des Benutzer sqldb01 erscheint aber der Eintrag MSSQLSvc/dbserver.domain.de. Der Benutzer sqldb01 ist auf dem DB-Server dbserver.domain.de in der lokalen Administrator Gruppe. Ansonsten hat er keine weiteren Gruppenzugehörigkeiten außer das er noch der Gruppe Domänen-Benutzer angehört. Desweiteren ist der Benutzer natürlich schon unter Dienste bei den jeweiligen SQL Server Diensten im Reiter Anmelden mit Domain/Benutzername und Kennwort eingetragen und die Dienste starten auch sauber.

 

Was habe ich falsch gemacht oder vergessen? Mein Ziel ist es die SQL-Server Dienste als normalen Domänenbenutzer laufen zu lassen.

bearbeitet von numx
Link zu diesem Kommentar

Der SQL Service Nutzer benötigt keine Admin Rechte auf dem SQL Server.

Hast du den Zugriff Lokal oder Remote getestet? Teste das ganze einmal auf einem anderen System, als auf dem SQL Server und führe dann dein SQL Befehl aus.

Es kann sein, dass Lokal kein Kerberos genutzt wird.

 

Ich hatte auch immer den SPN manuell gesetzt und nicht dem Account Domain-Admin Rechte gegeben. Vorallem geht dies nicht in jeder Umgebung, bei manchen Kunden musste ich den SPN anlegen lassen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...