Share via

  • Artykuł

Registering a Service Principal Name

Główna nazwa usługa (główna nazwa usługi) jest to nazwa, przez które klient jednoznacznie identyfikuje wystąpienie usługa.Usługa uwierzytelnianie Kerberos służy główna nazwa usługi do uwierzytelnianie usługi.Jeśli klient chce się połączyć z usługa, go lokalizuje wystąpienie usługa, redaguje główna nazwa usługi dla tego wystąpienia, łączy się z usługa i przedstawia główna nazwa usługi usługa do uwierzytelniania.

Uwaga

Informacje, które znajduje się w tym temacie dotyczą również SQL Server konfiguracje korzystające z klastrowanie.

Uprawnienia

Aby zarejestrować nazwy główna nazwa usługi, Database Engine musi być uruchomiony system konto wbudowane, takie jak system lokalny lub Usługa sieciowa lub konta, które ma uprawnienia do rejestrowania główna nazwa usługi, takich jak konta administratora domena. Jeśli SQL Server nie jest uruchomiona w ramach jednej z tych kont, nazwy główna nazwa usługi nie jest zarejestrowany przy uruchamianiu i administrator domena musi ręcznie zarejestrować nazwy główna nazwa usługi.

Artykuł KB Jak używać uwierzytelnianie Kerberos w programie SQL Server, zawiera informacje o tym, jak udzielić Odczyt lub zapis, uprawnienie do główna nazwa usługi konta, które nie jest administratorem domena.

Formaty nazwy główna nazwa usługi

Zaczyna się od SQL Server 2008, format nazwy główna nazwa usługi jest zmieniany na obsługę uwierzytelnianie Kerberos w protokole TCP/IP, potoków nazwanych i udostępnionych pamięci. Obsługiwane formaty główna nazwa usługi o nazwie i domyślnego wystąpienia są w następujący sposób.

history_retention_period

  • MSSQLSvc/FQDN:[port**|**instancename], where:

    • MSSQLSvc jest usługa, która jest zarejestrowany.

    • FQDN jest w pełni kwalifikowana nazwa domena serwera.

    • Port jest numerem portu TCP.

    • nazwa_wystąpienia jest nazwą SQL Server wystąpienie.

last_restored_date

  • MSSQLSvc/FQDN:port**|**MSSQLSvc/FQDN, where:

    • MSSQLSvc jest usługa, która jest zarejestrowany.

    • FQDN jest w pełni kwalifikowana nazwa domena serwera.

    • Port jest numerem portu TCP.

Nowy format nazwy główna nazwa usługi nie wymaga numeru portu.Oznacza to, że serwer wielu portów lub protokół, które nie są używane numery portów mogą używać protokół Kerberos.

Uwaga

przypadek braku połączenia TCP/IP, jeśli TCP port jest włączona do tej nazwy główna nazwa usługi, SQL Server należy włączyć w protokole TCP dla użytkownika do nawiązywania przy użyciu uwierzytelnianie Kerberos.

Automatyczna rejestracja nazwy główna nazwa usługi

Gdy wystąpienie SQL Server Database Engine zostanie uruchomiony, SQL Server próbuje zarejestrować główna nazwa usługi dla SQL Server Usługa. Gdy wystąpienie zostanie zatrzymana, SQL Server stara się wyrejestrować tej nazwy główna nazwa usługi. Dla połączenia TCP/IP nazwy główna nazwa usługi jest zarejestrowany w formacie MSSQLSvc /<FQDN>:<tcpport>.Both o nazwie wystąpienie i wystąpienie domyślne są zarejestrowane jako MSSQLSvc, opierając się na <tcpport> wartość dla odróżnienia jej wystąpienie.

Dla innych połączeń, które obsługują protokół Kerberos nazwy główna nazwa usługi jest zarejestrowany w formacie MSSQLSvc /<FQDN>:<nazwa_wystąpienia> dla wystąpienie z nazwą. Format rejestrowania domyślnego wystąpienie jest MSSQLSvc /<FQDN>.

Aby zarejestrować lub wyrejestrować tej nazwy główna nazwa usługi, jeśli konto usługa nie ma uprawnień, które są wymagane dla tych akcji może być wymagana ręczna interwencja.

Ręczna rejestracja nazwy główna nazwa usługi

Aby ręcznie zarejestrować nazwy główna nazwa usługi, administrator musi używać narzędzie Setspn.exe, że pochodzi z programu Microsoft Windows Server 2003 narzędzie obsługi. Te narzędzia są zawarte w Windows Server 2003 usługa Pack 1 (SP1). Aby uzyskać więcej informacji, zobacz temat Narzędzia obsługi systemu Windows Server 2003 Z dodatkiem usługa Pack 1 Artykuł KB.

Setspn.exe jest narzędziem wiersza polecenia, które można odczytywać, modyfikować i usuwać właściwość katalogu głównej nazwy usługa (główna nazwa usługi).Narzędzie to umożliwia również wyświetlanie bieżącej nazwy SPN, resetowanie konta domyślne nazwy SPN i dodać lub usunąć dodatkowe nazwy SPN.

Poniższy przykład ilustruje składnię, używane do rejestrowania ręcznie zarejestrować główna nazwa usługi dla połączenia TCP/IP.

setspn -A MSSQLSvc/myhost.redmond.microsoft.com:1433 accountname

Uwaga   Jeśli istnieje już główna nazwa usługi, muszą zostać usunięte, zanim mogą być zarejestrowane.Można to zrobić za pomocą setspn polecenia wraz z -D przełącznik. Poniższe przykłady ilustrują jak ręcznie zarejestrować nowe wystąpienie oparte główna nazwa usługi.Aby wystąpienie domyślne, należy użyć:

setspn –A MSSQLSvc/myhost.redmond.microsoft.com accountname

wystąpienie nazwane Użyj:

setspn –A MSSQLSvc/myhost.redmond.microsoft.com:instancename accountname

Połączenia klient

Nazwy SPN określone przez użytkownika są obsługiwane w sterowników klient.Jednak jeśli główna nazwa usługi nie zostanie podana, to zostanie wygenerowany automatycznie w zależności od typu połączenia klient.W przypadku połączenia TCP nazwy główna nazwa usługi w formacie MSSQLSvc/FQDN:Portjest używany dla obu nazwanych i wystąpienia domyślnego.

Aby o nazwie rury i połączenia pamięci współużytkowanej, nazwy główna nazwa usługi w formacie MSSQLSvc/FQDN:nazwa_wystąpienia jest używany do wystąpienie z nazwą i MSSQLSvc/FQDN jest używana dla domyślnego wystąpienie.

Za pomocą konta usługa, jak główna nazwa usługi

Konta usług mogą być używane jako główna nazwa usługi.Te są określane przez atrybut połączenia do uwierzytelnianie protokołu Kerberos i podjąć następujące formaty:

  • nazwaużytkownika@domena or domena azwa_użytkownika dla domeny konta użytkownika

  • Machine$@domena or host\FQDN dla konta domena komputera, takich jak system lokalny lub usługi sieci.

Domyślne ustawienia uwierzytelnianie

W poniższej tabela opisano ustawienia domyślne, które są używane opartych na scenariuszach rejestracji nazwy główna nazwa usługi uwierzytelnianie.

Scenariusz

Metoda uwierzytelnianie

Mapuje nazwę główna nazwa usługi do poprawnej domena lub konto wbudowane.Na przykład system lokalny lub Usługa sieciowa.

NoteNote:
Poprawne oznacza, że konto, mapowany przez zarejestrowaną nazwę główna nazwa usługi to konto, na którym uruchomiono usługa SQL Server w obszarze.

Lokalne połączenia za pomocą NTLM, połączeń zdalnych za pomocą protokołu Kerberos.

Nazwę główna nazwa usługi jest poprawną domena lub wbudowane konto.

NoteNote:
Poprawne oznacza, że konto, mapowany przez zarejestrowaną nazwę główna nazwa usługi to konto, na którym uruchomiono usługa SQL Server w obszarze.

Połączeń lokalnych i zdalnych za pomocą protokołu Kerberos.

Mapuje nazwę główna nazwa usługi do domena niepoprawne lub wbudowanego konta

Uwierzytelnianie nie powiedzie się.

Wyszukiwanie nazwy główna nazwa usługi nie powiedzie się lub nie mapuje się do poprawnej domena lub konto wbudowane lub nie jest poprawną domena lub wbudowane konto.

Połączeń lokalnych i zdalnych za pomocą NTLM.

Komentarze

Wystąpienie korzysta z połączenia dedykowany administrator (DAC) nazwa oparta główna nazwa usługi programu SQL Server 2008.Uwierzytelnianie Kerberos można używać z DAC Jeśli główna nazwa usługi zarejestrowana pomyślnie.Jako alternatywę użytkownika można określić nazwy konta jako główna nazwa usługi.

Jeśli rejestrację nazwy główna nazwa usługi nie powiedzie się podczas uruchamiania, ten błąd jest rejestrowany w SQL Server Dziennik błędów, a uruchamianie jest kontynuowane.

Jeśli nazwy główna nazwa usługi de-registration kończy się niepowodzeniem podczas zamykania systemu, ten błąd jest rejestrowany w SQL Server Dziennik błędów i zamykaniem systemu występuje nadal.