Hizmet asıl adı kaydediliyor
Hizmet asıl adı (spn) ile bir istemci benzersiz olarak tanımlayan addır bir örnek bir hizmet.Kerberos kimlik doğrulaması hizmet, bir hizmetin kimliğini doğrulamak için bir spn kullanabilirsiniz.Bir istemci bir hizmete bağlanmak istediğinde, bunu hizmetinin bir örneğini bulur, bu örnek için bir spn composes, hizmetine bağlanır ve kimlik doğrulaması için spn hizmet sunar.
Not
Bu konuda verilen bilgiler için de geçerlidir SQL Server kümeleme kullanın yapılandırmalar.
Windows kimlik doğrulaması kullanıcıların sql Server kimlik doğrulaması tercih edilen yöntem.Windows kimlik doğrulaması kullan doğrulanmış olduğunu tarafından istemcilerine ntlm veya Kerberos kullanarak.Bir Active Directory ortamında Kerberos kimlik doğrulaması her zaman ilk denemesi yapılır.Kerberos kimlik doğrulaması için değil SQL Server 2000 ve SQL Server 2005 kullanarak istemcileri adlandırılmış kanallar.
İzinler
Zaman Veritabanı Altyapısı başladığında bunu denediği hizmet asıl adı (spn) kaydettirin.sql Server başlangıç hesap Active Directory etki alanı Hizmetleri'nde bir spn kaydettirin izniniz yoksa, bu çağrı başarısız olur ve uygulama olay günlüğüne aynı zamanda sql Server bir uyarı iletisi günlüğe kaydedilir hata günlüğü.spn kaydı için Veritabanı Altyapısı (önerilmez) Local System veya network SERVICE ya da gibi bir spn kaydı için izni olan bir hesap gibi bir yerleşik hesabı altında çalışmalıdırbir etki alanı yönetici hesabı. If SQL Server is not running under one of these accounts, the SPN is not registered at startup and the domain administrator must register the SPN manually.
BB makalesi, Kerberos nasıl kimlik doğrulaması sql Server, vermek okuma veya yazma izni olan bir etki alanı yöneticisi olmayan bir hesap için bir spn için nasıl hakkında bilgi içerir.
Ek bilgiler kullanılabilir kısıtlı Implement Kerberos temsilcisi sql Server 2008 ile nasıl
spn biçimleri
İle başlayan SQL Server 2008, Kerberos desteklemek için spn biçimi değişti kimlik doğrulaması TCP/IP'yi, adlandırılmış kanalları ve paylaşılan bellek.Desteklenen spn biçimleri adlı ve varsayılan örnekler aşağıdaki gibidir.
Adlandırılmış örnek
MSSQLSvc/FQDN:[port**|**instancename], where:
MSSQLSvc olan hizmet , şu anda kaydedildi.
fqdn sunucusunun tam etki alanı adıdır.
bağlantı noktası tcp bağlantı noktası numarasıdır.
ÖrnekAdı adı SQL Server örnek.
Varsayılan örnek
MSSQLSvc/FQDN:port**|**MSSQLSvc/FQDN, where:
MSSQLSvc olan hizmet , şu anda kaydedildi.
fqdn sunucusunun tam etki alanı adıdır.
bağlantı noktası tcp bağlantı noktası numarasıdır.
Yeni spn biçiminde bir bağlantı noktası numarası gerektirmez.Bu, birden çok bağlantı noktalı sunucu veya bağlantı noktası numaralarını kullanan bir protokol Kerberos kullanabileceğiniz anlamına gelir.
Not
İçinde durum burada tcp bağlantı noktası spn dahil, bir TCP/IP bağlantısı, SQL Server gerekir kullanarak bağlanmak bir kullanıcı için tcp protokol etkinleştir. Kerberos kimlik doğrulamasını
Otomatik spn kaydı
Zaman bir örnek , SQL Server Veritabanı Altyapısı başlar, SQL Server spn kaydettirmeyi dener SQL Server hizmet.Örnek durdurulduğunda, SQL Server kaydı çalışırspn. Biçiminde bir TCP/IP bağlantısı için spn kayıtlı MSSQLSvc /<fqdn>:<tcpport>.Adlandırılmış Örnekleri hem varsayılan örnek kayıtlı olarak MSSQLSvc, üzerinde karşı <tcpport> değerine birbirinden örnekleri.
Diğer bağlantılar için Kerberos desteği biçiminde spn kayıtlı MSSQLSvc /<fqdn>:<ÖrnekAdı> için adlandırılmış örnek.Varsayılan örnek kayıt biçimi MSSQLSvc /<fqdn>.
Kaydolmaya veya hizmet hesabı bu eylemler için gerekli izinleri yoksa spn kaydını el ile müdahale gerekli olabilir.
El ile spn kaydı
spn el ile kaydetmek için yönetici Setspn.exe kullanın araç Microsoft tarafından sağlanan Windows Server 2003 Destek araçs.Bu araçlar dahil Windows Server 2003 Service Pack 1 (SP1).Daha fazla bilgi için bkz: Windows Server 2003 Service Pack 1 Destek Araçları kb makale.
Setspn.exe okuma, değiştirme ve hizmet asıl adları (spn) dizin özellik silmek sağlayan bir komut satırı araç.Bu araç aynı zamanda geçerli SPN'ler görüntülemek, hesabın varsayılan SPN'ler sıfırlamak ve ekleme veya silme tamamlayıcı SPN'ler sağlar.
Aşağıdaki örnekte el ile kaydetmek için kullanılan sözdizimi gösterilmiştir TCP/IP bağlantısı için bir spn kaydettirin.
setspn -A MSSQLSvc/myhost.redmond.microsoft.com:1433 accountname
Notbir spn zaten varsa, yeniden kaydetme önce onu silinmelidir.Kullanarak bunu setspn komutu ile birlikte -D anahtarı.Aşağıdaki örnekler, nasıl el ile yeni bir örnek alarak spn kaydettirin gösterilmektedir.varsayılan örnek için kullanın:
setspn –A MSSQLSvc/myhost.redmond.microsoft.com accountname
Adlandırılmış örnek için kullanın:
setspn –A MSSQLSvc/myhost.redmond.microsoft.com:instancename accountname
İstemci bağlantıları
Kullanıcı tarafından belirtilen SPN istemci sürücüleri desteklenir.spn sağlanmazsa, ancak, onu bir istemci bağlantısının türüne bağlı olarak otomatik olarak oluşturulur.spn biçiminde bir tcp bağlantısı için MSSQLSvc/fqdn:bağlantı noktasıkullanılır için her iki adlandırılmış ve varsayılan örneği.
Adlandırılmış yöneltmeler ve paylaşılan bellek bağlantıları biçiminde bir spn MSSQLSvc/fqdn:ÖrnekAdı için kullanılan bir adlandırılmış örnek ve MSSQLSvc/fqdn varsayılan örnek için kullanılır.
Bir hizmet hesabı bir spn kullanarak
Hizmet hesapları spn kullanılabilir.Bunlar, Kerberos kimlik doğrulaması için bağlantı öznitelik aracılığıyla belirlenen ve aşağıdaki biçimler alabilir:
kullanıcıadı@etkialanı veya etki alanı\kullanıcı adı bir etki alanı kullanıcı hesabı için
Machine$@Domain veya host\FQDN bir bilgisayarın etki alanı hesabının yerel sistem ya da ağ hizmetleri gibi.
Bir bağlantının kimlik doğrulaması yöntem belirlemek için yürütmek aşağıdaki sorgu.
SELECT net_transport, auth_scheme
FROM sys.dm_exec_connections
WHERE session_id = @@SPID;
Kimlik doğrulama Varsayılanları
Aşağıdaki tablo spn kaydı senaryoya göre kullanılan kimlik doğrulaması varsayılan değerleri açıklar.
Senaryo |
Kimlik doğrulama yöntem |
---|---|
Doğru etki alanı veya yerleşik hesap için bir spn eşleştirir.Örneğin, Local System veya network SERVICE.
Not
Düzeltmek kayıtlı spn tarafından eşlenen hesabı hesap olduğu anlamına gelir, sql Server hizmet ile çalışıyor.
|
Uzak bağlantıları kullanan Kerberos, ntlm yerel bağlantılar kullanın. |
spn doğru etki alanı veya yerleşik hesap edilir.
Not
Düzeltmek kayıtlı spn tarafından eşlenen hesabı hesap olduğu anlamına gelir, sql Server hizmet ile çalışıyor.
|
Yerel ve uzak bağlantı Kerberos kullanın. |
Yanlış etki alanı veya yerleşik hesap spn eşlemeleri |
Kimlik doğrulaması başarısız olur. |
spn arama başarısız olur veya bir doğru etki alanı veya yerleşik hesap eşlemek veya doğru etki alanı veya yerleşik hesap değil. |
Yerel ve uzak bağlantıları ntlm kullanın. |
Açıklamalar
Adanmış yönetici bağlantısı (dac) kullanan örnek sql Server 2008'deki spn adını alarak.Kerberos kimlik doğrulaması ile bir dac spn kayıtlı başarıyla kullanılabilir.Alternatif olarak, bir kullanıcı hesap adını bir spn belirtebilirsiniz.
Başlangıç sırasında spn kaydı başarısız olursa bu hata kaydedilir SQL Server hata günlüğü ve başlangıç eder.
Kapatma sırasında başarısız spn de-registration, bu hata kaydedilir SQL Server hata günlüğü ve kapatma devam.
Ayrıca bkz.