Doppelte SPN Service Principal Name

[pctech 10]

Hallo,

im Event log kam eine Fehler bezüglich des doppelten SPN Eintrages.

Fehler-ID: 11

 

mit setspn /x habe ich rausgefunden wo die sind:

 

MSSQLSvc/server01.domain.de:1433 wird auf diesen Konten registriert:

CN=SQL-Admin,CN=Users,DC=domain,DC=de

CN=server01,OU=Domain Servers,DC=domain,DC=de

 

Muss ich nun den doppelten Eintrag bei SQL-Admin oder bei server01 löschen?

bearbeitet 24. September 2012 von pctech

[Dukel 451]

Dort wo den SPN nicht brauchst.

 

Unter welchem Konto läuft der MSSQL Dienst?

[pctech 10]

mit einem Netzwerkdienst Konto.

[Dukel 451]

Das ist eine Schlechte Wahl, aber dann sollte der SPN auf dem Userkonto entfernt werden. Evtl. braucht man bei Network Service gar keinen SPN, aber das kann ich nicht zu 100% sagen.

[pctech 10]

Falls ich auf dem User Konto SPN lösche und später den Dienst mit diesen Konto ausführen möchte, wird dann der SPN Eintrag wieder automatisch erstellt?

[Dukel 451]

Nicht das ich wüsste.

[pctech 10]

wie kommt es dann zu den doppelten einträgen ?

habe schon so einiges durchgelesen aber immer noch nicht wirklich verstanden.

[Dukel 451]

Indem jemand die SPN's gesetzt hat ohne zu überprüfen, ob diese schon existieren.

 

Was verstehst du nicht?

[zahni 542]

Das ist eine Schlechte Wahl

 

Warum ?

 

Aus Security-Sicht ist das genau richtig.

[Dukel 451]

Aus Security Sicht sollte man einen unpriviligierten User und nicht System oder Networksystem nutzen.

 

Security Considerations for a SQL Server Installation

Run separate SQL Server services under separate Windows accounts. Whenever possible, use separate, low-rights Windows or Local user accounts for each SQL Server service. For more information, see Configure Windows Service Accounts and Permissions.

 

EDIT:

wie kommt es dann zu den doppelten einträgen ?

habe schon so einiges durchgelesen aber immer noch nicht wirklich verstanden.

 

http://msdn.microsoft.com/en-us/library/ms191153.aspx

 

When an instance of the SQL Server Database Engine starts, SQL Server tries to register the SPN for the SQL Server service. When the instance is stopped, SQL Server tries to unregister the SPN. For a TCP/IP connection the SPN is registered in the format MSSQLSvc/<FQDN>:<tcpport>.Both named instances and the default instance are registered as MSSQLSvc, relying on the <tcpport> value to differentiate the instances.

 

For other connections that support Kerberos the SPN is registered in the format MSSQLSvc/<FQDN>:<instancename> for a named instance. The format for registering the default instance is MSSQLSvc/<FQDN>.

 

Manual intervention might be required to register or unregister the SPN if the service account lacks the permissions that are required for these actions.

[pctech 10]

danke für die hilfreichen links,

ich habe noch ein paar doppelte SPN Einträge gefunden, allerdings wird der Dienst nicht ausgeführt, kann es sein dass deswegen keine Einträge im Event log darüber gibt.