Registrieren von Dienstprinzipalnamen
Aktualisiert: 05. Dezember 2005
Ein Dienstprinzipalname (SPN, Service Principal Name) ist der Name, über den ein Client eine Instanz eines Dienstes eindeutig identifiziert. Der Kerberos-Authentifizierungsdienst kann einen SPN zum Authentifizieren eines Dienstes verwenden. Wenn ein Client eine Verbindung zu einem Dienst herstellen möchte, sucht er eine Instanz des Dienstes, verfasst einen SPN für diese Instanz, stellt eine Verbindung zum Dienst her und übergibt den SPN zur Authentifizierung an den Dienst.
Prozess
Beim Starten einer Instanz von Datenbankmodul versucht SQL Server, den SPN für den SQL Server-Dienst zu registrieren. Wird die Instanz beendet, versucht SQL Server, die Registrierung des SPN wieder aufzuheben. Der SPN wird im Format MSSQLSvc**/<FQDN>:**<tcpport> registriert, wobei MSSQLSvc den registrierten Dienst darstellt, <FQDN> der vollqualifizierte Domänenname des Servers, und <tcpport> die TCP-Portnummer ist. Sowohl benannte Instanzen als auch die Standardinstanz werden als MSSQLSvc registriert, wobei die Instanz anhand des Wertes von <tcpport> unterschieden wird. Da der TCP-Port im SPN enthalten ist, muss SQL Server das TCP-Protokoll für einen Benutzer aktivieren, um mithilfe der Kerberos-Authentifizierung eine Verbindung herzustellen.
Damit der SPN registriert werden kann, muss Datenbankmodul unter dem lokalen Systemkonto oder unter einem Domänenadministratorkonto ausgeführt werden. Wird SQL Server unter einem anderen Konto ausgeführt, wird der SPN beim Starten nicht registriert, kann aber bei Bedarf von einem Administrator manuell registriert werden. Für Clusterkonfigurationen gelten die gleichen Regeln. Weitere Informationen zum Registrieren eines SPN finden Sie im Abschnitt "Schritt 3: Erstellen eines SPN für SQL Server" im Thema Vorgehensweise: Aktivieren der Kerberos-Authentifizierung auf einem SQL Server-Failovercluster.
Einschränkungen
Es gelten die folgenden Einschränkungen:
- SQL Server 2005-Datenbankmodul unterstützt das Überwachen von mehreren IP-Adressen. Bei der automatischen Registrierung von SPNs wird jedoch nur der erste identifizierte Port registriert.
- Der Port für die dedizierte Administratorverbindung (DAC, Dedicated Administrator Connection) wird nicht registriert. Daher ist die Verbindung zur DAC nicht mit der Kerberos-Authentifizierung, sondern nur mit der NTLM-Authentifizierung möglich.
Wenn die SPN-Registrierung beim Starten einen Fehler erzeugt, wird dies im Fehlerprotokoll von SQL Server aufgezeichnet, und der Startvorgang wird fortgesetzt.
Siehe auch
Andere Ressourcen
sp_ActiveDirectory_SCP (Transact-SQL)
sp_ActiveDirectory_Obj (Transact-SQL)
Hilfe und Informationen
Informationsquellen für SQL Server 2005
Änderungsverlauf
Version | Verlauf |
---|---|
05. Dezember 2005 |
|