Zum Inhalt wechseln


Foto

Kein Berechtigungseintrag für den SPN vorhanden


  • Bitte melde dich an um zu Antworten
4 Antworten in diesem Thema

#1 numx

numx

    Member

  • 259 Beiträge

 

Geschrieben 18. April 2017 - 20:44

Hallo,

 

ich habe einen SQL-Server 2014 SP2 CU5 (auf Windows Server 2016) in einer AD-Domäne (Windows Server 2016) als Mitgliedsserver. Ich möchte das die Dienste des SQL-Servers als Domänenuser ausgeführt werden. Wenn ich dem Domänenuser sqldb01 nun unter seinen Kontoeinstellungen im Reiter Sicherheit -> Erweitert -> Berechtigungen -> Hinzufügen den Benutzer SELBST als Principal angebe so hat dieser die Eigenschaft "servicePrincipalName lesen" und "servicePrincipalName schreiben" nicht. Setze ich dann manuell den SPN mittels

setspn -A MSSQLSvc/dbserver.domain.de sqldb01

und starte die Standardinstanz neu erscheint durch die Abfrage von

select auth_scheme from sys.dm_exec_connections where session_id=@@spid

immer noch der Wert NTLM. Im Attribut-Editior unter servicePrincipalName des Benutzer sqldb01 erscheint aber der Eintrag MSSQLSvc/dbserver.domain.de. Der Benutzer sqldb01 ist auf dem DB-Server dbserver.domain.de in der lokalen Administrator Gruppe. Ansonsten hat er keine weiteren Gruppenzugehörigkeiten außer das er noch der Gruppe Domänen-Benutzer angehört. Desweiteren ist der Benutzer natürlich schon unter Dienste bei den jeweiligen SQL Server Diensten im Reiter Anmelden mit Domain/Benutzername und Kennwort eingetragen und die Dienste starten auch sauber.

 

Was habe ich falsch gemacht oder vergessen? Mein Ziel ist es die SQL-Server Dienste als normalen Domänenbenutzer laufen zu lassen.


Bearbeitet von numx, 18. April 2017 - 20:45.


#2 zahni

zahni

    Expert Member

  • 16.474 Beiträge

 

Geschrieben 19. April 2017 - 07:28

Damit das Kerberos-Gedöns richtig gesetzt wird, hat sogar MS mal irgendwo empfohlen, den betreffenden User kurzzeitig beim Start des SQL-Servers Domain-Admin-Rechte zu geben. Dann stellt der SQL-Server die SPN's selber richtig ein.

 

Danach kann man sie wieder weg nehmen.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#3 Dukel

Dukel

    Board Veteran

  • 9.298 Beiträge

 

Geschrieben 19. April 2017 - 07:40

Der SQL Service Nutzer benötigt keine Admin Rechte auf dem SQL Server.

Hast du den Zugriff Lokal oder Remote getestet? Teste das ganze einmal auf einem anderen System, als auf dem SQL Server und führe dann dein SQL Befehl aus.

Es kann sein, dass Lokal kein Kerberos genutzt wird.

 

Ich hatte auch immer den SPN manuell gesetzt und nicht dem Account Domain-Admin Rechte gegeben. Vorallem geht dies nicht in jeder Umgebung, bei manchen Kunden musste ich den SPN anlegen lassen.


Stop making stupid people famous.


#4 zahni

zahni

    Expert Member

  • 16.474 Beiträge

 

Geschrieben 19. April 2017 - 08:10

Siehe auch https://technet.micr...y/bb735885.aspx


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#5 numx

numx

    Member

  • 259 Beiträge

 

Geschrieben 19. April 2017 - 08:52

Hallo,

 

ich habe es jetzt richtig testen können. Leider habe ich immer lokal getestet und lokal wird wohl immer nur NTLM ausgeführt. Über Remotezugriff klappte es dann. Und ja der Dienstbenutzer braucht auf dem SQL-Server keine lokalen Adminrechte. Soweit hat sich das "Problem" dann gelöst. Danke für eure Tips.