Eu tenho uma configuração de grupo de disponibilidade alwayson usando SQL 2014 e Windows Server 2012 R2. Existem 3 nós no grupo. O serviço SQL está sendo executado como uma conta de serviço gerenciado em cada nó (1 MSA para cada servidor).
Estou tentando fazer um servidor vinculado em cada um dos nós para apontar para o nó ativo atual. Então, digamos que os três servidores sejam chamados de Server1, Server2 e Server3, e o grupo de disponibilidade AlwaysOn é chamado de SQLAAG_PROD. Desejo criar o servidor vinculado ao SQLAAG_PROD.
Eu sou capaz de criar um servidor vinculado a cada nó individual (por exemplo, Server1 com um link para server2 e Server3) e funciona bem usando a opção de segurança Be made using the login's current security context.
No entanto, quando tento criar um servidor vinculado ao ouvinte do grupo, receboLogin failed for user 'NT AUTHORITY\ANONYMOUS LOGON
Se eu alterar o modo de segurança para usar a senha SA para o servidor ativo atual, tudo funcionará, mas por razões óbvias de segurança, essa não é uma solução aceitável.
Eu li muito sobre a necessidade de configurar SPNs e permitir contas para delegação. Ativei Trust this computer for delegation to any service (Kerberos only)o objeto SQLAAG_PROD no Active Directory, mas ainda tenho o mesmo problema.
Alguém já viu isso antes e/ou existe um guia sobre como configurar isso?
=== ATUALIZAR ===
Não tenho certeza se isso ajuda, mas quando eu corro
select auth_scheme from sys.dm_exec_connections where session_id=@@SPID
quando conectado diretamente ao nó, obtenho o KERBEROS; no entanto, se me conectar ao SQLAAG_PROD e executar a mesma consulta, obtenho o NTLM
Finalmente encontrei um tutorial aqui: http://www.derekseaman.com/2014/10/sql-2014-always-ag-pt-12-kerberos.html
O problema para mim era que eu precisava registrar o SPN para o Grupo de Disponibilidade nas contas de Serviço Gerenciado usadas para executar o Mecanismo de Banco de Dados SQL (etapa 8 no link). Depois que fiz isso e reiniciei todos os 3 servidores no cluster, tudo funcionou.