如何使用SPN通过SSMS进行连接

Question

我刚刚完成了在AD中使用SPN注册我们的SQL Server2008 R2。我可以通过以下关键字通过OLEDB使用SQLNCLI10.1进行连接：

Server SPN=MSSQLSvc/server.domain.local

连接后，以下查询将验证是否正在使用Kerberos：

SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@spid;

结果：

KERBEROS

然而，我无法弄清楚，也无法在互联网上搜索有关使用SPN在SSMS中连接的信息。将建议的关键字添加到“附加连接参数”只会导致

Keyword not supported: 'serverspn'
Keyword not supported: 'server spn'

是否可以使用SPN在SSMS中进行连接？如果我没有指定SPN，测试查询将返回：

NTLM

Answer 1

您使用了哪些命令来创建SPN？

您应该有2个SPN用于服务。1个用于server.domain.local，1个用于端口1433 (或您的服务使用的任何端口)。

下面是来自http://msdn.microsoft.com/en-us/library/ms191153.aspx的示例

setspn -A MSSQLSvc/myhost.redmond.microsoft.com:1433 accountname
setspn –A MSSQLSvc/myhost.redmond.microsoft.com accountname

一旦创建了SPN，Windows身份验证就应该是获取Kerberos所需的全部。

要验证创建了哪些SPN，您可以使用以下命令：

setspn -l accountname

此外，如果服务帐户具有Write servicePrincipalName和Read servicePrincipalName权限，它将在启动时自动注册SPN。

更多信息请参见克林特的博客：http://clintboessen.blogspot.com/2010/02/dynamically-set-spns-for-sql-service.html

Answer 2

每当您获得NTLM时，这意味着SPN没有正确注册或其中一个帐户不在域中。否则，您应该始终获得KERBEROS连接。您需要做几件事来确保始终获得KERBEROS连接。

• 确保登录名存在于运行SQL Server的域上。请确保登录名在AD上具有足够的权限，用于SQL
• 的登录名创建一个 setspn -S MSSQLSvc/<domain.com> <login>。此命令将在添加SPN之前检查重复项。
• 以上步骤将确保在重新启动时注册SQL SPN。

要验证注册成功，请执行以下操作：

• 您可以在SSMS Management -> SQL Server Logs -> Current中签入。您还可以在CMD setspn -L MSSQLSvc/<domain.com> <login>

中运行以下命令

验证服务器SPN已成功注册后，您可以使用域帐户登录并运行测试命令。在此之后，您应该始终获得KERBEROS。