Jump to content

SPN für SQL-Server setzen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hm, gebe ich anstatt dem Port den Instanzname ein, wird mittels TCP nur NTLM verwendet. Die Named-Pipes allerdings über Kerberos. Verwende ich die Default-Instanz plus Port, funktioniert wird die Kerberos Authentifizierung verwendet.

Die Syntax habe ich direkt von der Microsoft Seite kopiert. Leider erfordert der Application Server dringend als Protokoll TCP und auch die Kerberos Authentifizierung wegen der Delegierung.

Hm, werde mal weiter Recherchieren.

Link zu diesem Kommentar

Ich meine, dass der SQL den richtigen SPN selber setzt, wenn man ihn einmalig mit einem Domain-Admin startet.

Danach kann man das Service-Konto wieder zurückändern.

Das stand auch mal irgendwann in der Doku oder irgendeinem Blog von MS.

Update: Da hat gerade etwas geklingelt. MS hat zur Kerberos-Config ein Tool geschrieben:

 

https://www.microsoft.com/en-us/download/details.aspx?id=39046&WT.mc_id=soc-n-[TR]-loc-[Services]-[farukc]

bearbeitet von zahni
Link zu diesem Kommentar

Ich gehe über den FQDN, über IP wäre NTLM Authentifizierung normal. Möchte eigentlich nur wissen wie man den SPN bei einer weiteren Instanz verwendet, die TCP und nicht die Named Pipes verwendet, anlegt. Bei der Default-Instanz wird Kerberos verwendet, bei der Named-Instanz aber NTLM. Bei NTLM funktioniert aber der Application Server davor nicht weil dieser für die Delegierung ein Domänen-Konto und kein SQL Konto benötigt.

Werde morgen mal in der Testumgebung das MS SQL Tool runterladen und schauen, wie dieses den SPN anlegt.

@zahni, Danke für den Link :)

 

@Dukel,

sinnvoll ja, sinnfrei aber weil ich die korrekte Syntax nicht kenne.

Link zu diesem Kommentar

Hallo zusammen,

die Lösung war ganz einfach. Jede Named Instance greift mittels dynamic ports zu. Das managed der SQL Client Browser problemlos. Da ich allerdings eine 2-Tier Umgebung habe, funktioniert das nicht mehr. Lösung ist, die zweite Instanz einen anderen Port zuweisen und den SPN auf diesen Port setzen. Danach verwendet TCP auch die Kerberos Authentifizeriung. Eleganter wäre den SQL-Server über ein MSA Konto zu starten. Dieses darf den SPN "von Haus aus" im AD selbst aktualisieren. Somit aktualisiert sich der SPN bei jedem SQL Server neustart selbst. Vermutlich müssten dann Named-Instance nicht mehr auf einem statischen Port laufen. Das habe ich aber aus mangels an MSA Konten nicht getestet. Nur eine Vermutung.

 

Wir brauchen die Named Instance weil die Collation für den SQL Server festgeschrieben ist. Auch die ist organisatorische Zuordnung der SQL Server sehr wahrscheinlich anders als bei vielen Firmen. Das zu erläutern würde aber den Rahmen hier sprengen :)

 

@Dukel

mittels MSSQLSvc/<FQDN>:<instancename> legt man den SPN für alle Protokolle, außer TCP fest!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...