如何为 SQL Server 站点数据库服务器配置 SPN

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

主题上次更新时间 – 2008 年 1 月

使用 SQL Server 计算机的本地系统帐户运行 SQL Server 服务不是 SQL Server 最佳方案。为了最安全地运行 SQL Server 站点数据库服务器，应该配置一个低权限的域用户帐户来运行 SQL Server 服务。

必须为 SQL Server 服务帐户（不使用本地系统帐户时）注册服务主体名称 (SPN)，以允许客户端使用 Kerberos 身份验证对服务进行识别和身份验证。可以使用 SetSPN 实用程序注册站点数据库服务器 SQL Server 服务帐户的 SPN。SetSPN 实用程序必须在位于 SQL Server 域中的计算机上运行，而且必须使用域管理员凭据运行。要使用 SetSPN 实用程序正确配置 SQL Server 服务帐户的 SPN，请按照这些过程中的步骤操作。

备注

要使用 SetSPN 实用程序或打开 ADSIEdit MMC 控制台，您必须首先安装 Microsoft Windows Server 支持工具。Windows 2000 Server 和 Windows Server 2003 CD 上的支持工具文件夹中包括这些工具。要安装 Windows Server 支持工具，请导航到服务器安装 CD 上的 \SUPPORT\TOOLS\，然后运行 suptools.msi。

手动创建 SQL Server 服务帐户的域用户服务主体名称 (SPN)

1. 依次单击“开始”、“运行”，然后在“运行”对话框中输入 cmd。

2. 从命令行导航到 Windows Server 支持工具安装目录。默认情况下，这些工具位于 C:\Program Files\Support Tools 目录中。

3. 输入有效的命令以创建 SPN。命令形式如下：setspn –A MSSQLSvc/<SQL Server 计算机名称>:1433 <域\帐户>。

   备注

   为 SQL Server 命名实例注册 SPN 的命令与注册默认实例的 SPN 时使用的命令相同，只不过端口号应该与命名实例使用的端口匹配。

4. 通过查看已更新对象行的命令输出来验证命令是否已成功完成。

使用 ADSIEdit MMC 控制台验证域用户 SPN 是否已正确注册

1. 依次单击“开始”、“运行”，然后输入 adsiedit.msc 以启动 ADSIEdit MMC 控制台。

2. 如有必要，请连接到站点服务器的域。

3. 在控制台窗格中，依次展开站点服务器的域、“DC=<服务器可分辨名称>”和“CN=用户”，然后右键单击“CN=<服务帐户用户>”。在上下文菜单上，单击“属性”。

4. 在“CN=<服务帐户用户>属性”对话框中，检查 servicePrincipalName 值，确保已创建有效 SPN，并且与正确的 SQL Server 相关联。

将 SQL Server 服务帐户从本地系统更改为域用户帐户

1. 创建或选择将用作 SQL Server 服务帐户的域或本地系统用户帐户。

2. 打开 SQL Server Configuration Manager。

3. 单击“SQL Server 2005 服务”，然后双击“SQL Server <实例名称>”。

4. 在“登录”选项卡上，选择“此帐户”，然后输入在步骤 1 中为域用户帐户创建的用户名和密码，或单击“浏览”查找 Active Directory 中的用户帐户，然后单击“应用”。

5. 在“确认帐户更改”对话框中单击“是”以确认服务帐户更改，然后重新启动 SQL Server 服务。

6. 在成功更改服务帐户后，单击“确定”。

另请参阅

概念

Configuration Manager 服务主体名称要求

有关其他信息，请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系，请将电子邮件发送至 SMSdocs@microsoft.com。