Um sicherzustellen, dass Sie Kerberos-Authentifizierung verwenden, wenn Sie eine Remoteverbindung mit einer Instanz von SQL Server 2005 erstellen

Einführung

Dieser Artikel beschreibt wie Sie die Verwendung von Kerberos-Authentifizierung als Authentifizierungsmethode Microsoft Windows beim Erstellen einer Remoteverbindung mit einer Instanz von Microsoft SQL Server 2005.

Weitere Informationen

SQL Server 2005 unterstützt die Kerberos-Authentifizierung indirekt über die Windows Support Provider SSPI (Security Interface) Wenn Sie integrierte Windows-Authentifizierung anstelle der SQL-Authentifizierung verwenden. Allerdings wird SQL Server nur Kerberos-Authentifizierung unter Umständen beim verwenden SQL Server das Authentifizierungsprotokoll zu SSPI verwenden können. Wenn SQL Server Kerberos-Authentifizierung verwenden können, verwendet Windows die NTLM-Authentifizierung. Aus Sicherheitsgründen empfehlen wir, dass NTLM-Authentifizierung Kerberos-Authentifizierung anstelle. Administratoren und Benutzer sollten können sicherstellen, dass sie Kerberos-Authentifizierung für Remoteverbindungen.

Um Kerberos-Authentifizierung verwenden, müssen Sie sicherstellen, dass alle folgenden Kriterien erfüllt sind:
  • Der Server und die Clientcomputer müssen Mitglieder derselben Windows-Domäne oder einer vertrauenswürdigen Domäne sein.
  • Im Verzeichnisdienst Active Directory muss der Server für Dienstprinzipalnamen (SPN) registriert werden.
  • Die Instanz von SQL Server 2005 muss das TCP-Protokoll aktivieren.
  • Der Client muss über das TCP-Protokoll zur Instanz von SQL Server 2005 Verbindung. Beispielsweise können Sie das Protokoll TCP/IP am oberen Rand des Clients Protokollreihenfolge einfügen. Oder das Präfix "Tcp:" in der Verbindungszeichenfolge angegeben wird, dass die Verbindung das TCP-Protokoll verwendet.

Registrieren Sie einen SPN in einer Domäne

Wenn Sie einen SPN für SQL Server-Dienst registrieren, erstellen Sie im Wesentlichen eine Zuordnung zwischen SPN und das Windows-Benutzerkonto, das der Serverdienst Instanz gestartet.

Den SPN muss registriert werden, da der Client registrierten SPN zum Verbinden mit der Serverinstanz verwenden muss. Der SPN besteht aus den Computernamen des Servers mit den TCP-Port. Wenn Sie den SPN nicht registriert, kann die SSPI das Konto ermitteln, das den SPN zugeordnet ist. Daher wird die Kerberos-Authentifizierung nicht verwendet werden.


Wenn SQL Server unter dem lokalen Systemkonto oder ein Domänenadministratorkonto ausgeführt wird, wird die Instanz registriert automatisch den SPN im folgenden Format beim Starten der Instanz:
MSSQLSvc/FQDN:tcpport
Hinweis FQDN ist den vollqualifizierten Domänennamen des Servers. TCP_Port ist die TCP-Portnummer.

Die TCP-Portnummer in der SPN befindet, müssen SQL Server TCP/IP-Protokoll für die Verbindung mit Kerberos-Authentifizierung aktivieren. Dasselbe gilt für Cluster-Konfigurationen. Außerdem die Instanz beim Starten der Instanz automatisch einen SPN registriert, wird der SPN automatisch aufgehoben stoppt die Instanz.

Ein Domänenadministratorkonto oder dem lokalen Systemkonto verfügt über die erforderlichen Berechtigungen, um einen SPN registrieren. Deshalb kann nicht unter einem Administratorkonto der SQL Server-Dienst gestartet wird, SQL Server den SPN für die Instanz registrieren. Dies verhindert nicht die Instanz ab. Jedoch wird die folgende Meldung im Anwendungsprotokoll der Windows-Ereignisprotokoll protokolliert: Falls diese Meldung protokolliert wird, manuell registrieren den SPN für die Instanz unter ein Domänenadministratorkonto um Kerberos-Authentifizierung verwenden. Um die SPN registrieren, können Sie das Tool SetSPN.exe, das mit Microsoft Windows 2000 Server Resource Kit enthalten ist. Dieses Tool ist auch in Microsoft Windows Server 2003-Supporttools enthalten. Windows Server 2003-Supporttools sind in Microsoft Windows Server 2003 Service Pack 1 (SP1) enthalten.


Weitere Informationen zum Beziehen von Windows Server 2003 Service Pack 1-Supporttools finden im folgenden Artikel der Microsoft Knowledge Base:

892777 Windows Server 2003 Service Pack 1 Supporttools

Die können eines Befehls ähnlich dem folgenden einen SPN für eine Instanz registriert ist:
SetSPN – MSSQLSvc / < ComputerName >. < Domänenname >: < Kontoname > 1433
Hinweis SPN bereits vorhanden, müssen Sie den SPN löschen, bevor Sie sie neu registrieren können. Möglicherweise, wenn die Kontenzuordnung geändert hat. Vorhandenen SPN gelöscht, können Sie das Tool SetSPN.exe mit Option -D .

Wie Sie sicherstellen, dass Kerberos-Authentifizierung

Nachdem Sie eine Instanz von SQL Server 2005, führen die folgende Transact-SQL-Anweisung in SQL Server Management Studio verbunden:
select auth_scheme from sys.dm_exec_connections where session_id=@@spid
SQL Server Kerberos-Authentifizierung verwendet, eine Zeichenfolge, die als "KERBEROS" aufgeführt in der Auth_scheme Spalte im Ergebnisfenster angezeigt.

Referenzen

Weitere Informationen finden Sie unter den folgenden Themen in der Microsoft SQL Server 2005-Onlinedokumentation:
  • Registrierung von Dienstprinzipalnamen
  • Aktivieren der Kerberos-Authentifizierung, einschließlich SQL Server virtueller Server in Serverclustern
Eigenschaften

Artikelnummer: 909801 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback