pctech 10 Geschrieben 24. September 2012 Melden Geschrieben 24. September 2012 (bearbeitet) Hallo, im Event log kam eine Fehler bezüglich des doppelten SPN Eintrages. Fehler-ID: 11 mit setspn /x habe ich rausgefunden wo die sind: MSSQLSvc/server01.domain.de:1433 wird auf diesen Konten registriert: CN=SQL-Admin,CN=Users,DC=domain,DC=de CN=server01,OU=Domain Servers,DC=domain,DC=de Muss ich nun den doppelten Eintrag bei SQL-Admin oder bei server01 löschen? bearbeitet 24. September 2012 von pctech
Dukel 468 Geschrieben 24. September 2012 Melden Geschrieben 24. September 2012 Dort wo den SPN nicht brauchst. Unter welchem Konto läuft der MSSQL Dienst?
pctech 10 Geschrieben 24. September 2012 Autor Melden Geschrieben 24. September 2012 mit einem Netzwerkdienst Konto.
Dukel 468 Geschrieben 24. September 2012 Melden Geschrieben 24. September 2012 Das ist eine Schlechte Wahl, aber dann sollte der SPN auf dem Userkonto entfernt werden. Evtl. braucht man bei Network Service gar keinen SPN, aber das kann ich nicht zu 100% sagen.
pctech 10 Geschrieben 24. September 2012 Autor Melden Geschrieben 24. September 2012 Falls ich auf dem User Konto SPN lösche und später den Dienst mit diesen Konto ausführen möchte, wird dann der SPN Eintrag wieder automatisch erstellt?
pctech 10 Geschrieben 24. September 2012 Autor Melden Geschrieben 24. September 2012 wie kommt es dann zu den doppelten einträgen ? habe schon so einiges durchgelesen aber immer noch nicht wirklich verstanden.
Dukel 468 Geschrieben 24. September 2012 Melden Geschrieben 24. September 2012 Indem jemand die SPN's gesetzt hat ohne zu überprüfen, ob diese schon existieren. Was verstehst du nicht?
zahni 587 Geschrieben 25. September 2012 Melden Geschrieben 25. September 2012 Das ist eine Schlechte Wahl Warum ? Aus Security-Sicht ist das genau richtig.
Dukel 468 Geschrieben 25. September 2012 Melden Geschrieben 25. September 2012 Aus Security Sicht sollte man einen unpriviligierten User und nicht System oder Networksystem nutzen. Security Considerations for a SQL Server Installation Run separate SQL Server services under separate Windows accounts. Whenever possible, use separate, low-rights Windows or Local user accounts for each SQL Server service. For more information, see Configure Windows Service Accounts and Permissions. EDIT: wie kommt es dann zu den doppelten einträgen ?habe schon so einiges durchgelesen aber immer noch nicht wirklich verstanden. http://msdn.microsoft.com/en-us/library/ms191153.aspx When an instance of the SQL Server Database Engine starts, SQL Server tries to register the SPN for the SQL Server service. When the instance is stopped, SQL Server tries to unregister the SPN. For a TCP/IP connection the SPN is registered in the format MSSQLSvc/<FQDN>:<tcpport>.Both named instances and the default instance are registered as MSSQLSvc, relying on the <tcpport> value to differentiate the instances. For other connections that support Kerberos the SPN is registered in the format MSSQLSvc/<FQDN>:<instancename> for a named instance. The format for registering the default instance is MSSQLSvc/<FQDN>. Manual intervention might be required to register or unregister the SPN if the service account lacks the permissions that are required for these actions.
pctech 10 Geschrieben 25. September 2012 Autor Melden Geschrieben 25. September 2012 danke für die hilfreichen links, ich habe noch ein paar doppelte SPN Einträge gefunden, allerdings wird der Dienst nicht ausgeführt, kann es sein dass deswegen keine Einträge im Event log darüber gibt.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden