背景
我们正在执行服务器移动。 在此过程中,已经创build了新的服务器和服务帐户。 我收到了两个我认为与SPN有关的问题:
我创build了一些SQL链接服务器(使用“当前的安全上下文”,即Windows身份validation),我得到错误Login Failed for user NT AUTHORITY\ANONYMOUS LOGIN ,但只有当我从客户端使用它(而不是当我使用它从服务器连接时)。 双跳人?
我们有一个networking应用程序设置,据我可以告诉它不能在Kerberos下运行(只是提示login,然后失败),但function在NTLM
实际的问题
所以我想尝试一下,准确的计算出在公元前提交的SPN,但是我有两个问题/困惑:
问题1:
当我inputSetSPN -L MyDomain\MyServiceAccount1我得到
Ldap错误(0x22 – 无效的DN语法):ldap_search_s
我如何解决这个问题? 有一个AD浏览工具,我可以用来枚举这个? 我想这是因为它有一个无效的字符,它无法处理(有一个$ ,但肯定是常见的?)
问题2:
当我检查旧的服务器时,我input了这两个东西:
SetSPN -L ServerNameZ
我得到一个默认的SPN列表,但没有SQL Server的列表
即
HOST / ServerNameZ
HOST / ServerNameZ.domain.local
当我键入SetSPN -L MyDomain\MyOldServiceAccount
我得到了SQL Server SPN:
为MSSQLSvc / ServerNameZ.domain.local:63267
为MSSQLSvc / ServerNameZ.domain.local:COL1
为MSSQLSvc / ServerNameZ.domain.local:59082
为MSSQLSvc / ServerNameZ.domain.local:COL2
为什么SQL Server SPN不出现在第一个以服务器为中心的列表中? 这是不是要列出所有的服务器的SPN?