我看不到如何为托pipe服务帐户标识的服务授予Kerberos约束委派。
我有一个Windows 2008 R2function级单域单林,两个2008 R2 SP1 DC,新build。
我已经在服务器“SQL-01”上安装了新的SQL Server 2012实例,以便在托pipe服务帐户“MsaSqlServer”中运行。
迄今为止都很好。
托pipe服务帐户具有以下属性:cn = MsaSqlServer sAMAccountName = MsaSqlServer $ servicePrincipleName = MSSQLSvc / SQL-01.fasttrac.local,MSSQLSvc / SQL-01.fasttrac.local:1433
我现在在服务器APP-02上有一个IIS网站(在同一个域中)。 我可以很容易地在Web服务器的属性对话框APP-02的委派选项卡上设置ADUC中的约束委派,例如通过单击添加,find文件服务器并select“CIFS”服务来访问文件服务器types。 但是,我想要委派SQL Server,所以我单击添加,findSQL服务器SQL-01,并且没有SQL或MSSQLSvc或类似的服务。 这是正常的,因为MSSQLSvc SPN注册到运行SQL Server的帐户,并且只有在运行为本地系统时才会显示在计算机帐户上。 SQL 2008运行在一个正常的域用户帐户,我只需input该域的用户名,并selectMSSQLSvc SPN,我们走了,但我不能得到“select用户或计算机”框find我的托pipe服务帐户(与或没有$后缀)。
我认为我可以通过直接攻击web服务器(APP-02)AD对象的msDS-AllowedToDelegateTo属性并添加“MSSQLSvc / MsaSqlServer”和“MSSQLSvc / MsaSqlServer.domain.local”来获得所需的效果,但是我没有知道是否包括训练$(即“MSSQLSvc / MsaSqlServer $”),实际上,我虽然GUI应该工作。 有谁知道我该怎么办?