Регистрация на имената на участниците във файла за Kerberos услуга

Предишен ◈ Следващото

Собствени уеб услуги с XML поддръжка са остарели. В бъдещата версия на Microsoft SQL Server, тази функция ще бъде премахнат. Избягвайте да използвате тази функция в новата работа развитие и планират да променят приложенията, в която се прилагат.

Когато създавате или модифицирате HTTP крайни точки, като използвате инструкциите СЪЗДАВАНЕ ENDPOINT или ALTER ENDPOINT трябва да определите типа на удостоверяване на потребителя, което извади SOAP крайната точка на искания HTTP. За повече информация, вижте. В секциите сътворяват крайна точка (Transact-SQL) и ALTER крайна точка (Transact-SQL).

Използване на инструкции сътворяват крайна точка, от ALTER крайна точка, което можете да конфигурирате подкрепа Kerberos удостоверяване по следните начини:

Ако удостоверяването на опцията = KERBEROS, Kerberos е единственото средство за HTTP удостоверяване.

Ако удостоверяването на опцията = ИНТЕГРИРАНА, HTTP удостоверяване за крайните точки, можете да използвате следните видове заверки: преговаря KERBEROS и NTLM. Ако опцията преговаря клиента и сървъра се опита да удостовери, използвайки протокола Kerberos. Ако клиентът не поддържа протокола Kerberos или преговори не са възможни за удостоверяване с помощта на NTLM отново. За клиента не се предава обратно към използване NTLM преговаря препоръчва да настроите параметър за удостоверяване на клиентска = KERBEROS крайна точка.

В подкрепа на взаимно удостоверяване Kerberos, SQL сървър, например, трябва да се сдружават Service Основно име (SPN) със сметката от името на която тя ще се извършва, като локалният системен акаунт или потребителски домейн сметка. Характерни черти на регистрация SPN SQL Server например определят от вида сметка услуга на по който то е извършено. Ако SQL Server, под който работи системата са съобразени с местните, имена Privateers услуги са регистрирани на името на компютъра. Ако SQL Server, се провежда под потребителски домейн сметка, SPNs трябва да бъдат регистрирани по потребителски домейн сметка.

За да се сдружават на SPN със сметката, името на който е стартиран на инстанция на SQL Server, използвайте Windows SetSPN.exe инструмент подкрепа. Този инструмент добавя SPNs за името на компютъра, на който инстанция на SQL Server по сметката на потребителски домейн сметка на Windows, която се съхранява в Active Directory. В този сценарий, като се използват SetSPN.exe програма могат да добавят две име SPN: един за име на NetBIOS, а другият за пълен SPN.

Например, ако стартирате програмата от SetSPN.exe инстанция на SQL Server, работещ на MyComputer. с акаунт, който да инстанция на SQL Server, ще бъдат свързани два SPN, че трябва да се добави към каталога:

Най-често срещаните проблеми, свързани с регистрацията на имена на SPN за протокола Kerberos.

В SPN не е регистриран.

Ако SPN не се регистрира, за удостоверяване Kerberos ще работи на локалния компютър, работещ под инстанция на SQL Server, но няма да бъде приет до отдалечени клиентски компютри.

SPN е регистриран повече от веднъж.

Има няколко ситуации, в които администраторът може да се повтарят имената на услугите, в директорията на домейн, който ще доведе до грешка, когато Kerberos удостоверяване. Тези доклади включват следната информация.

Промяна на сметката на домейн, при които инстанция на SQL Server

Ако SetSpn.exe програма ви свършат, когато инстанция на SQL Server се изпълнява в профила на домейн (например DOMAIN \ User1), и след това да промените потребителското SQL Server сметка (например DOMAIN \ User 2), когато SetSPN.exe рестартира, и също потребителско име -service ще бъде включен в указателя за двата профила.

Инсталиране на няколко SQL Server, които се движат в рамките на различни потребителски акаунти

Ако инсталирате няколко копия на SQL Server, тичам всеки един от тях с различни потребителски акаунти и да изпълнява SetSpn.exe програма за всеки отделен случай, същите имена SPN, ще бъдат включени в указателя за всеки SQL Server сметка. Това се отнася за случаите на който се движи и при потребителски домейн сметка и под System акаунт Local.

Деинсталиране и повторно инсталиране на инстанция на SQL Server под друг профил

Във всяка от тези ситуации, проблемът е, че крайната точка на HTTP ще се върнете обратно към NTLM удостоверяване, докато грешката е поправена. Обикновено проблемът може да бъде решен чрез откриване на дублиращи директория или стари имена SPN и да ги изтриете ръчно.