numx 10 Geschrieben 18. April 2017 Melden Teilen Geschrieben 18. April 2017 (bearbeitet) Hallo, ich habe einen SQL-Server 2014 SP2 CU5 (auf Windows Server 2016) in einer AD-Domäne (Windows Server 2016) als Mitgliedsserver. Ich möchte das die Dienste des SQL-Servers als Domänenuser ausgeführt werden. Wenn ich dem Domänenuser sqldb01 nun unter seinen Kontoeinstellungen im Reiter Sicherheit -> Erweitert -> Berechtigungen -> Hinzufügen den Benutzer SELBST als Principal angebe so hat dieser die Eigenschaft "servicePrincipalName lesen" und "servicePrincipalName schreiben" nicht. Setze ich dann manuell den SPN mittels setspn -A MSSQLSvc/dbserver.domain.de sqldb01 und starte die Standardinstanz neu erscheint durch die Abfrage von select auth_scheme from sys.dm_exec_connections where session_id=@@spid immer noch der Wert NTLM. Im Attribut-Editior unter servicePrincipalName des Benutzer sqldb01 erscheint aber der Eintrag MSSQLSvc/dbserver.domain.de. Der Benutzer sqldb01 ist auf dem DB-Server dbserver.domain.de in der lokalen Administrator Gruppe. Ansonsten hat er keine weiteren Gruppenzugehörigkeiten außer das er noch der Gruppe Domänen-Benutzer angehört. Desweiteren ist der Benutzer natürlich schon unter Dienste bei den jeweiligen SQL Server Diensten im Reiter Anmelden mit Domain/Benutzername und Kennwort eingetragen und die Dienste starten auch sauber. Was habe ich falsch gemacht oder vergessen? Mein Ziel ist es die SQL-Server Dienste als normalen Domänenbenutzer laufen zu lassen. bearbeitet 18. April 2017 von numx Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 19. April 2017 Melden Teilen Geschrieben 19. April 2017 Damit das Kerberos-Gedöns richtig gesetzt wird, hat sogar MS mal irgendwo empfohlen, den betreffenden User kurzzeitig beim Start des SQL-Servers Domain-Admin-Rechte zu geben. Dann stellt der SQL-Server die SPN's selber richtig ein. Danach kann man sie wieder weg nehmen. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 19. April 2017 Melden Teilen Geschrieben 19. April 2017 Der SQL Service Nutzer benötigt keine Admin Rechte auf dem SQL Server. Hast du den Zugriff Lokal oder Remote getestet? Teste das ganze einmal auf einem anderen System, als auf dem SQL Server und führe dann dein SQL Befehl aus. Es kann sein, dass Lokal kein Kerberos genutzt wird. Ich hatte auch immer den SPN manuell gesetzt und nicht dem Account Domain-Admin Rechte gegeben. Vorallem geht dies nicht in jeder Umgebung, bei manchen Kunden musste ich den SPN anlegen lassen. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 19. April 2017 Melden Teilen Geschrieben 19. April 2017 Siehe auch https://technet.microsoft.com/de-de/library/bb735885.aspx Zitieren Link zu diesem Kommentar
numx 10 Geschrieben 19. April 2017 Autor Melden Teilen Geschrieben 19. April 2017 Hallo, ich habe es jetzt richtig testen können. Leider habe ich immer lokal getestet und lokal wird wohl immer nur NTLM ausgeführt. Über Remotezugriff klappte es dann. Und ja der Dienstbenutzer braucht auf dem SQL-Server keine lokalen Adminrechte. Soweit hat sich das "Problem" dann gelöst. Danke für eure Tips. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.