Uwierzytelnianie Kerberos przy użyciu programu SQL Server
Aby używać uwierzytelnianie Kerberos, z SQL Server wymaga, aby być spełnione oba następujące warunki:
Komputery klient i serwer muszą być częścią tej samej domena systemu Windows lub w zaufanych domenach.
Głównej nazwy usługi (główna nazwa usługi) musi być zarejestrowany w usłudze Active Directory, przyjmuje rolę centrum dystrybucji kluczy w systemie Windows domena.Nazwy główna nazwa usługi, po zarejestrowaniu, mapowany do konta systemu Windows, który uruchomił SQL Server wystąpienie usługa.Jeśli rejestracja nazwy główna nazwa usługi nie zostało wykonane lub nie, warstwa zabezpieczeń systemu Windows nie może określić konta skojarzonego z nazwy główna nazwa usługi, a uwierzytelnianie Kerberos nie będzie używany.
Ostrzeżenie
Jeśli serwer nie może automatycznie zarejestrować nazwy główna nazwa usługi, ręcznie zarejestrować nazwy główna nazwa usługi.
Można sprawdzić, czy połączenie używa protokołu Kerberos przez badanie sys.dm_exec_connections dynamiczny widok zarządzania.Uruchom następującą kwerendę i sprawdzić wartość auth_scheme kolumna, który będzie "kerberos" Jeżeli protokół Kerberos jest włączony.
SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@spid ;
Rola główna nazwa usługi uwierzytelniania
Gdy aplikacja otwiera połączenie i używa uwierzytelniania systemu Windows, SQL Server przekazuje Native Client SQL Server nazwa serwera wystąpienie nazwę i, opcjonalnie, nazwę główna nazwa usługi.Jeżeli połączenie przechodzi główna nazwa usługi jest używana bez żadnych zmian.
Jeśli połączenie nie przekazuje nazwy główna nazwa usługi, domyślne zbudowane główna nazwa usługi oparte na protokół używany, nazwa serwera i nazwa wystąpienie.
W obu powyższych scenariuszy nazwa główna nazwa usługi jest wysyłany do Centrum dystrybucji kluczy do uzyskania tokenu zabezpieczeń uwierzytelniania połączenia.Jeśli nie można uzyskać tokenu zabezpieczeń, uwierzytelnianie wykorzystuje NTLM.