Kerberos-Key-Distribution-Center + ID11 + doppelte SPN

[Dutch_OnE 39]

Hallo Leute,

 

ich habe in meiner Domäne 2 verschiedene SQL Server 2005/2010 und bei beiden wird der MSSQLSERVER Dienst über den Administrator gestartet.

Dadurch bekomme ich in der Ereignisanzeige vom DC immer wieder die Meldung dass Kerberos einen doppelten Namen ermittelt hat.

 

setspn -q ... sagt folgendes aus:

CN=Administrator, CN=Users, DC=xxx, DC=xx

mssqlsvc/server1.domäne.de

mssqlsvc/server1.domäne.de:1433

mssqlsvc/server2.domäne.de

mssqlsvc/server2.domäne.de:1433

 

Der Fehler des doppelten SPN bezieht sich auf den Eintrag mssqlsvc/server2.domäne.de:1433 und könnte zum Herabstufen auf NTLM führen.

 

Außerdem ist noch folgender Eintrag vorhanden:

CN=server2, OU=blabla, DC=xxx, DC=xx

mssqlsvc/server2.domäne.de

mssqlsvc/server2.domäne.de:1433

 

Liegt das Problem an den beiden SQL Servern und dem gleich Port 1433, oder ist der Server2 sowohl auf den User und auf das Gerät registiert? Der Dienst wird über den User jeweils gestartet.

 

gruß

dutch

 

 

 

 

[Dukel 457]

setspn -x sagt dir die doppelten SPN's, aber du hast recht. die beiden SPN's sind dem Server und dem User zugeordent.

 

Btw. ich würden den SQL Server nicht mit dem "Administrator" laufen lassen sondern mit einem User mit möglichst wenig Rechten (kein Lokaler Admin).

[Doso 77]

Der SQL Serverdienst versucht beim Start den entsprechenden Eintrag im AD zu setzen, was ihm als Domain Admin auch gelingt. Nachdem du zwei SQL Server hast setzen die auch immer die SPN im AD, und doppelte SPN verursachen halt diese Fehlermeldung. Ich hatte das Problem auch mal als ich bei einem Ausfall des SQL Server das Ding mal testweise als Domain Admin laufen gelassen habe, leider war der SPN nochmal woanders auf einem anderen gesetzt. Lösung:

 

1. SQL Dienste als Domain Admin laufen lassen ist eine schlechte Idee. Neuen Domain Account erstellen und zuweisen. Am besten pro SQL Service einen, und verschiedene für die Server.

2. Doppelte SPNs ermitteln und aus dem AD löschen.

[Dutch_OnE 39]

Guten Morgen,

vielen Dank für die gute Lösung. Aktuell sind die SPNs an den Servern und am Administrator gebunden. Wenn ich den Dienst nicht mehr als Administrator starte, werde ich da auch die SPNs entfernen. Ist es sinnvoll diese auch von den jeweiligen Serverkonten zu entfernen?

Angezeigt ist der Name MSSQLSVC/Server.Domäne.de:1433. Es gibt den Eintrag aber auch ohne 1433. Entfernen tue ich dann gleich beide.

[Dukel 457]

Du musst die SPN's den Konten zuweisen, mit dem der SQL Server Dienst läuft. Wenn es als Local System läuft musst du den SPN dem Server zuweisen, wenn es als User (egal ob Administrator oder ein anderer User ist) läuft musst du den SPN diesem User zuweisen.

Denk daran den Dienst User nicht unter services.msc zu ändern sondern im SQL Server Management.

Bei SPN's solltest du diese mit (so weit ich das aktuell auswendig weiß) -S statt -A anlegen. Dabei werden doppelte SPN's gleich überprüft.

[Dutch_OnE 39]

Muss man die SPNs überhaupt anlegen? Ich meine das geht doch immer von alleine.

Laut Empfehlung die ich gefunden habe, sollte man lokaler Dienst verwenden. Vermutlich liegt der SPN dann auch auf dem Servernamen, wie beim lokalen System oder?

bearbeitet 6. Januar 2014 von Dutch_OnE

[Doso 77]

Ohne SPN hast du halt kein Kerberos. Die Empfehlung von Microsoft ist einen Domänenaccount vor die SQL Serverdienste zu verwenden, für einige Dinge wie Clustering ist es sogar Pflicht. Wenn das "automatisch geht" läuft der SQL Server unter einem Account der wohl recht hohe Berechtigungen hat, wie vom OP wohl als Domänenadmin. Das ist keine gute Idee....