我刚刚使用SPN在AD中注册了我们的SQL Server 2008 R2。 我可以通过OLEDB使用SQLNCLI10.1与以下关键字进行连接:
Server SPN=MSSQLSvc/server.domain.local
并且一旦连接,以下查询将验证是否正在使用Kerberos:
SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@spid;
结果:
KERBEROS
Keyword not supported: 'serverspn'
Keyword not supported: 'server spn'
是否可以使用SPN在SSMS内连接?如果我这样做而没有指定SPN,则测试查询返回:
NTLM
答案 0 :(得分:0)
您使用哪些命令创建SPN?
您应该为该服务提供2个SPN。 1表示server.domain.local,1表示端口1433(或服务使用的任何端口)。
以下是http://msdn.microsoft.com/en-us/library/ms191153.aspx中的示例:
setspn -A MSSQLSvc/myhost.redmond.microsoft.com:1433 accountname
setspn –A MSSQLSvc/myhost.redmond.microsoft.com accountname
创建SPN后,Windows身份验证应该是获取Kerberos所需的全部内容。
要验证创建了哪些SPN,您可以使用以下内容:
setspn -l accountname
此外,如果服务帐户具有Write servicePrincipalName和Read servicePrincipalName权限,它将在启动时自动注册SPN。
有关详细信息,请参阅Clint的博客:http://clintboessen.blogspot.com/2010/02/dynamically-set-spns-for-sql-service.html
答案 1 :(得分:0)
每当您获得NTLM时,这意味着SPN未正确注册或其中一个帐户不在域中。否则,您应始终获得KERBEROS连接。您需要做一些事情来确保始终获得KERBEROS连接。
setspn -S MSSQLSvc/<domain.com> <login>。此命令将在添加SPN之前检查重复项。验证注册成功:
Management -> SQL Server Logs -> Current。 setspn -L MSSQLSvc/<domain.com> <login> 验证服务器SPN已成功注册后,您可以使用域帐户登录并运行测试命令。在此之后你应该总是得到KERBEROS。