Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
numx

Kein Berechtigungseintrag für den SPN vorhanden

Empfohlene Beiträge

Hallo,

 

ich habe einen SQL-Server 2014 SP2 CU5 (auf Windows Server 2016) in einer AD-Domäne (Windows Server 2016) als Mitgliedsserver. Ich möchte das die Dienste des SQL-Servers als Domänenuser ausgeführt werden. Wenn ich dem Domänenuser sqldb01 nun unter seinen Kontoeinstellungen im Reiter Sicherheit -> Erweitert -> Berechtigungen -> Hinzufügen den Benutzer SELBST als Principal angebe so hat dieser die Eigenschaft "servicePrincipalName lesen" und "servicePrincipalName schreiben" nicht. Setze ich dann manuell den SPN mittels

setspn -A MSSQLSvc/dbserver.domain.de sqldb01

und starte die Standardinstanz neu erscheint durch die Abfrage von

select auth_scheme from sys.dm_exec_connections where session_id=@@spid

immer noch der Wert NTLM. Im Attribut-Editior unter servicePrincipalName des Benutzer sqldb01 erscheint aber der Eintrag MSSQLSvc/dbserver.domain.de. Der Benutzer sqldb01 ist auf dem DB-Server dbserver.domain.de in der lokalen Administrator Gruppe. Ansonsten hat er keine weiteren Gruppenzugehörigkeiten außer das er noch der Gruppe Domänen-Benutzer angehört. Desweiteren ist der Benutzer natürlich schon unter Dienste bei den jeweiligen SQL Server Diensten im Reiter Anmelden mit Domain/Benutzername und Kennwort eingetragen und die Dienste starten auch sauber.

 

Was habe ich falsch gemacht oder vergessen? Mein Ziel ist es die SQL-Server Dienste als normalen Domänenbenutzer laufen zu lassen.

bearbeitet von numx

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Damit das Kerberos-Gedöns richtig gesetzt wird, hat sogar MS mal irgendwo empfohlen, den betreffenden User kurzzeitig beim Start des SQL-Servers Domain-Admin-Rechte zu geben. Dann stellt der SQL-Server die SPN's selber richtig ein.

 

Danach kann man sie wieder weg nehmen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Der SQL Service Nutzer benötigt keine Admin Rechte auf dem SQL Server.

Hast du den Zugriff Lokal oder Remote getestet? Teste das ganze einmal auf einem anderen System, als auf dem SQL Server und führe dann dein SQL Befehl aus.

Es kann sein, dass Lokal kein Kerberos genutzt wird.

 

Ich hatte auch immer den SPN manuell gesetzt und nicht dem Account Domain-Admin Rechte gegeben. Vorallem geht dies nicht in jeder Umgebung, bei manchen Kunden musste ich den SPN anlegen lassen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

 

ich habe es jetzt richtig testen können. Leider habe ich immer lokal getestet und lokal wird wohl immer nur NTLM ausgeführt. Über Remotezugriff klappte es dann. Und ja der Dienstbenutzer braucht auf dem SQL-Server keine lokalen Adminrechte. Soweit hat sich das "Problem" dann gelöst. Danke für eure Tips.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×