pctech 10 Geschrieben 24. September 2012 Melden Teilen Geschrieben 24. September 2012 (bearbeitet) Hallo, im Event log kam eine Fehler bezüglich des doppelten SPN Eintrages. Fehler-ID: 11 mit setspn /x habe ich rausgefunden wo die sind: MSSQLSvc/server01.domain.de:1433 wird auf diesen Konten registriert: CN=SQL-Admin,CN=Users,DC=domain,DC=de CN=server01,OU=Domain Servers,DC=domain,DC=de Muss ich nun den doppelten Eintrag bei SQL-Admin oder bei server01 löschen? bearbeitet 24. September 2012 von pctech Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 24. September 2012 Melden Teilen Geschrieben 24. September 2012 Dort wo den SPN nicht brauchst. Unter welchem Konto läuft der MSSQL Dienst? Zitieren Link zu diesem Kommentar
pctech 10 Geschrieben 24. September 2012 Autor Melden Teilen Geschrieben 24. September 2012 mit einem Netzwerkdienst Konto. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 24. September 2012 Melden Teilen Geschrieben 24. September 2012 Das ist eine Schlechte Wahl, aber dann sollte der SPN auf dem Userkonto entfernt werden. Evtl. braucht man bei Network Service gar keinen SPN, aber das kann ich nicht zu 100% sagen. Zitieren Link zu diesem Kommentar
pctech 10 Geschrieben 24. September 2012 Autor Melden Teilen Geschrieben 24. September 2012 Falls ich auf dem User Konto SPN lösche und später den Dienst mit diesen Konto ausführen möchte, wird dann der SPN Eintrag wieder automatisch erstellt? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 24. September 2012 Melden Teilen Geschrieben 24. September 2012 Nicht das ich wüsste. Zitieren Link zu diesem Kommentar
pctech 10 Geschrieben 24. September 2012 Autor Melden Teilen Geschrieben 24. September 2012 wie kommt es dann zu den doppelten einträgen ? habe schon so einiges durchgelesen aber immer noch nicht wirklich verstanden. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 24. September 2012 Melden Teilen Geschrieben 24. September 2012 Indem jemand die SPN's gesetzt hat ohne zu überprüfen, ob diese schon existieren. Was verstehst du nicht? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 25. September 2012 Melden Teilen Geschrieben 25. September 2012 Das ist eine Schlechte Wahl Warum ? Aus Security-Sicht ist das genau richtig. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 25. September 2012 Melden Teilen Geschrieben 25. September 2012 Aus Security Sicht sollte man einen unpriviligierten User und nicht System oder Networksystem nutzen. Security Considerations for a SQL Server Installation Run separate SQL Server services under separate Windows accounts. Whenever possible, use separate, low-rights Windows or Local user accounts for each SQL Server service. For more information, see Configure Windows Service Accounts and Permissions. EDIT: wie kommt es dann zu den doppelten einträgen ?habe schon so einiges durchgelesen aber immer noch nicht wirklich verstanden. http://msdn.microsoft.com/en-us/library/ms191153.aspx When an instance of the SQL Server Database Engine starts, SQL Server tries to register the SPN for the SQL Server service. When the instance is stopped, SQL Server tries to unregister the SPN. For a TCP/IP connection the SPN is registered in the format MSSQLSvc/<FQDN>:<tcpport>.Both named instances and the default instance are registered as MSSQLSvc, relying on the <tcpport> value to differentiate the instances. For other connections that support Kerberos the SPN is registered in the format MSSQLSvc/<FQDN>:<instancename> for a named instance. The format for registering the default instance is MSSQLSvc/<FQDN>. Manual intervention might be required to register or unregister the SPN if the service account lacks the permissions that are required for these actions. Zitieren Link zu diesem Kommentar
pctech 10 Geschrieben 25. September 2012 Autor Melden Teilen Geschrieben 25. September 2012 danke für die hilfreichen links, ich habe noch ein paar doppelte SPN Einträge gefunden, allerdings wird der Dienst nicht ausgeführt, kann es sein dass deswegen keine Einträge im Event log darüber gibt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.