web-dev-qa-db-fra.com

SQL Server - Nom du directeur du service d'inscription sans redémarrage de service?

J'ai un environnement SQL Server 2012 en direct qui n'avait pas d'enregistré SPN - cela n'a pas encore été question car l'authentification Kerberos n'était pas requise. Mais maintenant c'est nécessaire.

J'ai tout configuré correctement, mais après ces modifications, je souhaite que SQL Server puisse enregistrer le SPN avec succès - de préférence sans redémarrage de service car il s'agit d'un environnement direct.

Y-a-t'il une façon de le faire?

P.s. Je sais que je peux enregistrer le SPN manuellement, mais je veux vous assurer qu'ils peuvent être enregistrés automatiquement.

2
paulH

Réponse rapide

Question:

J'ai tout configuré correctement, mais après ces modifications, je souhaite que SQL Server puisse enregistrer le SPN avec succès - de préférence sans redémarrage de service car il s'agit d'un environnement direct.

Y a-t-il une façon de faire cela?

Réponse:

Non.

Explication

De la documentation officielle enregistrer un nom de principal nom de service pour les connexions Kerberos

Un nom de service de service (SPN) doit être enregistré avec Active Directory, ce qui suppose le rôle du centre de distribution de clé dans un domaine Windows. Le SPN, après son enregistrement, des cartes vers le compte Windows qui ont démarré le service d'instance SQL Server. Si l'enregistrement SPN n'a pas été effectué ou échoue, la couche de sécurité Windows ne peut pas déterminer le compte associé à l'authentification SPN et Kerberos ne sera pas utilisé.

et

Si le serveur ne peut pas enregistrer automatiquement le SPN, le SPN doit être enregistré manuellement. Voir Enregistrement manuel SPN .

et plus bas dans la section Enregistrement automatique SPN Vous pouvez trouver

Lorsqu'une instance du moteur de base de données SQL Server démarre, SQL Server tente d'enregistrer le SPN pour le service SQL Server. Lorsque l'instance est arrêtée, SQL Server essaie de nuire au SPN. Pour une connexion TCP/IP, le SPN est enregistré dans le format MSSQLSVC/:. Les instances nommées et l'instance par défaut sont enregistrées en tant que MSSQLSVC, en s'appuyant sur la valeur pour différencier les instances.

Résumé

Le service SQL Server Registist essentiellement le SPN sur le service Démarrer automatiquement. Si vous ne pouvez pas démarrer le service SQL Server, vous devrez effectuer cette tâche manuellement.

Considérations

Assurez-vous que le compte de service qui démarre le service SQL Server est autorisé à lire et à écrire SPNS.

Pour ce faire, vous devez accorder les paramètres de contrôle d'accès suivants pour le compte de service SQL Server dans le service d'annuaire Active Directory:

  • Lire serviceprincipalname
  • Write ServiceprincipalName

Référence:Comment utiliser l'authentification Kerberos dans SQL Server (Microsoft Support)

3
John aka hot2use