Início / dba / Perguntas / 321873
Accepted
Sir Swears-a-lot
Asked: 2023-01-09 19:08:49 +0800 CST

Novos servidores SQL 2022 não registram SPN

  • 772

Acabei de construir 2 novos servidores Win/SQL 2022. Tudo correu bem e consegui me conectar com o SSMS.

Em seguida, alterei os dois serviços do mecanismo SQL para usar uma conta de domínio (minha prática padrão), posso conectar localmente, mas não consigo mais conectar remotamente via SSMS com o seguinte erro.

The target principal name is incorrect.  Cannot generate SSPI context. (Microsoft SQL Server, Error: 0)

Quando o SQL é executado como um serviço local, ele pode registrar um SPN. Mas quando é executado como uma conta de domínio, não pode. (Já repeti isso várias vezes em ambos os servidores). Também tentei executar o serviço usando uma conta de administrador de domínio.

Eu segui as instruções do MS para configuração automática e manual do SPN. E nenhum dos dois resolveu o problema.

Alguém mais caiu nessa? Qualquer conselho ou sugestão seria muito apreciada.

Edit: Eu tentei a ferramenta Kerberos Config Mgr e ela não pode se conectar remotamente ou localmente, ela retorna o erro:

10/01/2023 11:36:10 am Error: Connect to SQLWMI failed \root\Microsoft\SqlServer\ComputerManagement System.Management.ManagementException: Invalid namespace

Eu também tentei executar um reparo SQL.

O log SQL mostra os seguintes avisos após a inicialização:

SQL Server is attempting to register a Service Principal Name (SPN) for the SQL Server service. Kerberos authentication will not be possible until a SPN is registered for the SQL Server service. This is an informational message. No user action is required.

The SQL Server Network Interface library could not register the Service Principal Name (SPN) [ MSSQLSvc/server.domain ] for the SQL Server service. Windows return code: 0xffffffff, state: 53. Failure to register a SPN might cause integrated authentication to use NTLM instead of Kerberos. This is an informational message. Further action is only required if Kerberos authentication is required by authentication policies and if the SPN has not been manually registered.
kerberos

1 respostas

  1. Best Answer

    Obrigado por esses detalhes, @Sir Swears-a-lot. Parece que há algo errado com os SPNs. Podemos precisar de 4 SPNs para cada conta de serviço do SQL Server para atender a diferentes cenários de autenticação do Windows.

    setspn -S MSSQLSvc/myhost.redmond.microsoft.com:instancename domain\accountname  
setspn -S MSSQLSvc/myhost.redmond.microsoft.com:1433 domain\accountname  
setspn -S MSSQLSvc/myhost:instancename domain\accountname  
setspn -S MSSQLSvc/myhost:1433 domain\accountname

    No caso, os comandos acima geram o erro "SPNs duplicados". Podemos usar os comandos abaixo.

    1. aliste todos os SPNs para o controlador de domínio. Para localizar duplicatas, você pode pesquisar a entrada SPN exata para descobrir em qual usuário ela é executada.
    ldifde -r (serviceprincipalname=*) -f allSPN.txt
    1. remover o SPN específico
    setspn -D MSSQLSvc/myhost:instancename domain\accoutnname
    1. Verifique os SPNs.
    setspn -L domain\accountname
    • 1

relate perguntas