none
SQL 2012 SPN in Windows Domain 2012 R2 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Forum,

    ich bin gerade etwas ratlos was das Thema SPN Registrierung angeht.
    Normalerweise soll der SQL Server beim Start automatisch die notwendigen SPNs registrieren.

    Hier die Rahmenbedingungen:

    • die Domain und der Forest befinden sich auf dem Level Windows 2012 R2
    • die SQL Instanz läuft unter einem Servicebenutzer
    • der Servicebenutzer ist Mitglied einer lokalen Sicherheitsgruppe in der Domäne
    • die Sicherheitsgruppe hat das Recht "Bestätigtes Schreiben an Dienstprinzipal" auf untergeordnete Computer
      (Dieses Recht sehe ich nur, wenn ich untergeordnete Computer selektiert habe.)
    • die Rechte "Read servicePrincipalName" und "Write servicePrincipalName" aus dem Artikel: https://support.microsoft.com/en-us/kb/319723 finde ich leider nicht.

    Beim Starten des SQL-Servers habe ich die folgende Meldung im Protokoll:
    "The SQL Server Network Interface library could not register the Service Principal Name (SPN)"

    Mir ist klar, dass ich den SPN über setspn manuell erstellen kann. Ich benötige jedoch eine Lösung für die automatische Erstellung beim Start des jeweiligen Servers (wir haben einige davon).
    In einer Domäne < Windows Server 2012 R2 scheint es hier andere Rechte gegeben zu haben.

    Kann mir hierbei bitte jemand helfen?

    Vielen Dank im Voraus.

    Grüße,

    Torsten

    Freitag, 17. April 2015 14:16
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo Torsten,

    es gibt ein Tool von MS der Dich bei den ersten Steps unterstützen kann: Microsoft® Kerberos Configuration Manager for SQL Server®

    Offiziell supported bis Windows 2012; 2012 R2 sollte aber auch gehen.

    Olaf Helper

    [ Blog] [ Xing] [ MVP]

    Freitag, 17. April 2015 14:26
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Olaf,

    vielen Dank für die schnelle Antwort.

    Leider bekomme ich mit dem Tool gleich eine Fehlermeldung:

    17.04.2015 16:46:39 Info: Connect to WMI, \root\cimv2
    17.04.2015 16:46:44 Error: Access of User Principal information failed System.DirectoryServices.AccountManagement.PrincipalServerDownException: Mit dem Server konnte keine Verbindung hergestellt werden. ---> System.DirectoryServices.Protocols.LdapException: Der LDAP-Server ist nicht verfügbar.
       bei System.DirectoryServices.Protocols.LdapConnection.Connect()
       bei System.DirectoryServices.Protocols.LdapConnection.SendRequestHelper(DirectoryRequest request, Int32& messageID)
       bei System.DirectoryServices.Protocols.LdapConnection.SendRequest(DirectoryRequest request, TimeSpan requestTimeout)
       bei System.DirectoryServices.AccountManagement.PrincipalContext.ReadServerConfig(String serverName, ServerProperties& properties)
       --- Ende der internen Ausnahmestapelüberwachung ---
       bei System.DirectoryServices.AccountManagement.PrincipalContext.ReadServerConfig(String serverName, ServerProperties& properties)
       bei System.DirectoryServices.AccountManagement.PrincipalContext.DoServerVerifyAndPropRetrieval()
       bei System.DirectoryServices.AccountManagement.PrincipalContext..ctor(ContextType contextType, String name, String container, ContextOptions options, String userName, String password)
       bei System.DirectoryServices.AccountManagement.PrincipalContext..ctor(ContextType contextType, String name)
       bei KerberosCM.WMIHelper.TryGetUser(SystemInfo mi, UserPrincipal& user)

    Die Verbindung zum DC ist definitiv vorhanden. Ich habe das tool sowohl als lokaler Admin als auch als Domain Admin ausgeführt.

    Grüße,

    Torsten

    Freitag, 17. April 2015 15:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Hat noch jemand eine Idee?

    ich komme hier leider nicht mehr weiter :(

    Vielen Dank im Voraus.

    Dienstag, 12. Mai 2015 13:05
    |
  • Question
    Anmelden
    3
    Anmelden

    Vielleicht hilft dir dieser Artikel weiter?
    http://serverfault.com/questions/573160/sql-server-running-under-a-domain-account-cannot-register-its-spn
     Einen schönen Tag noch,
    Christoph
    --
    Microsoft SQL Server MVP - http://www.insidesql.org/blogs/cmu

    Mittwoch, 13. Mai 2015 08:17
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Vielen Dank für die Antwort.

    Der Artikel beschreibt das Problem und die Lösung genau.

    Danke.

    Viele Grüße,

    Torsten

    Mittwoch, 13. Mai 2015 12:11
    |