Ein SPN für den SQL Server-Browserdienst ist erforderlich, wenn eine zu einer benannten Instanz von SQL Server Analysis Services Verbindung

Problembeschreibung

Das folgende Szenario. Sie stellen eine Verbindung zu einer benannten Instanz von Microsoft SQL Server Analysis Services. Dann ermittelt der SQL Server-Browser-Dienst den Port auf dem benannte Instanz verfügbar ist. Die Verbindung wird Kerberos-Authentifizierung verwendet. In diesem Szenario ist ein Dienstprinzipalname (SPN) für den SQL Server-Browserdienst neben den SPN für die benannte Instanz von Analysis Services erforderlich. Kerberos-Authentifizierung schlägt fehl, wenn SPN für den SQL Server-Browser-Dienst nicht vorhanden ist.

Ursache

Dieses Verhalten tritt auf, wenn die Verbindungszeichenfolge enthält nur die SSPI Kerberos = Parameter. In diesem Fall muss die Verbindung Kerberos-Authentifizierung und der SPN für den SQL Server-Browser-Dienst konfiguriert sein.


Enthält die Verbindungszeichenfolge keine der SSPI Kerberos = Parameter, Kerberos-Authentifizierung in der Regel verwendet. Die Verbindung mit der SQL Server-Browserdienst verwendet stattdessen NTLM und das Konto NT_ANONYMOUS. In diesem Fall ist die Verbindung mit der SQL Server-Browserdienst erfolgreich. Der SQL Server-Browserdienst bestimmt den richtigen Anschluss. Anschließend verwendet die tatsächliche Verbindung Kerberos-Authentifizierung true Authentifizierung bereitzustellen.

Problemlösung

Sie müssen einen SPN für den SQL Server-Browser-Dienst erstellen, mit dem Konto, unter dem der SQL Server-Browser-Dienst ausgeführt wird.




Das Format der NetBIOS SPN lautet wie folgt:
MSOLAPDisco.3/serverHostName
Das Format der vollqualifizierte Domänenname lautet SPN

MSOLAPDisco.3/serverHostName.Fully_Qualified_domainName

SPN registrieren

Sie müssen Mitglied der Gruppe Domänen-Admins den Befehl Setspn ausführen werden.

Den SPN für den Suchdienst zu erstellen, die unter Domänenkonto ausgeführt wird, führen Sie folgende Befehle ein:


Setspn.exe-MSOLAPDisco.3/serverHostName.Fully_Qualified_domainName-Browser_Service_Startup_Account




Setspn.exe-MSOLAPDisco.3/serverHostName-Browser_Service_Startup_Account
Wenn Sie den SPN für den Suchdienst erstellen müssen, die unter dem Konto LocalSystem ausgeführt wird, führen Sie folgende Befehle ein:
Setspn.exe-MSOLAPDisco.3/serverHostName.Fully_Qualified_domainName ServerHostName Setspn.exe-MSOLAPDisco.3/serverHostName serverHostName

SPN überprüfen

Wenn der Dienst unter einem Domänenkonto ausgeführt wird:
Setspn –l Browser_Service_Startup_Account



Wenn der Dienst unter dem lokalen Systemkonto ausgeführt wird:
Setspn -l serverHostName

Status

Dieses Verhalten ist entwurfsbedingt.
Eigenschaften

Artikelnummer: 950599 – Letzte Überarbeitung: 14.01.2017 – Revision: 1

Feedback