3

我刚刚使用 SPN 在 AD 中完成了我们的 SQL Server 2008 R2 注册。我可以通过 OLEDB 使用 SQLNCLI10.1 使用以下关键字进行连接:

Server SPN=MSSQLSvc/server.domain.local

连接后,以下查询将验证是否正在使用 Kerberos:

SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@spid;

结果:

KERBEROS

但是,我无法弄清楚或在互联网上搜索有关使用 SPN 在 SSMS 内连接的信息。将建议的关键字添加到“附加连接参数”只会导致

Keyword not supported: 'serverspn'
Keyword not supported: 'server spn'

是否可以使用 SPN 在 SSMS 内连接?如果我在没有指定 SPN 的情况下这样做,则测试查询将返回:

NTLM
4

2 回答 2

0

您使用什么命令来创建 SPN?

您应该有 2 个用于该服务的 SPN。1 用于 server.domain.local 和 1 用于端口 1433(或您的服务使用的任何端口)。

以下是来自http://msdn.microsoft.com/en-us/library/ms191153.aspx的示例:

setspn -A MSSQLSvc/myhost.redmond.microsoft.com:1433 accountname
setspn –A MSSQLSvc/myhost.redmond.microsoft.com accountname

创建 SPN 后,Windows 身份验证应该是获取 Kerberos 所需的全部内容。

要验证创建了哪些 SPN,您可以使用以下命令:

setspn -l accountname

此外,如果服务帐户具有写入 servicePrincipalName 和读取 servicePrincipalName 权限,它将在启动时自动注册 SPN。

有关更多信息,请参阅 Clint 的博客:http: //clintboessen.blogspot.com/2010/02/dynamically-set-spns-for-sql-service.html

于 2012-05-01T00:30:53.357 回答
0

每当您获得 NTLM 时,这意味着 SPN 未正确注册或其中一个帐户不在域中。否则,您应该始终获得 KERBEROS 连接。您需要采取一些措施来确保始终获得 KERBEROS 连接。

  • 确保登录名存在于运行 SQL Server的域中。
  • 确保登录在 AD 上有足够的权限,登录用于 SQL 服务。
  • 手动创建一个 SPN setspn -S MSSQLSvc/<domain.com> <login>。此命令将在添加 SPN 之前检查重复项。
  • 以上步骤将确保在您重新启动 SQL Server 时注册 SPN 。

验证成功注册:

  • 您可以签入 SSMS Management -> SQL Server Logs -> Current
  • 您也可以在 CMD 中运行以下命令setspn -L MSSQLSvc/<domain.com> <login>

验证服务器 SPN 注册成功后,您可以使用域帐户登录并运行您的测试命令。在此之后,您应该始终获得 KERBEROS。

于 2015-11-03T19:41:09.917 回答