SPN澄清

Question

我们收到以下信息：

“Server无法使用Kerberos进行身份验证，因为服务主体名称(SPN)丢失、放置错误或重复。”

我在如何修理？上找到了一篇文章。但我仍有以下问题：

1. 目前我们的计划是NTLM。NTLM和Kerberos有什么不同？
2. 这个SPN到底是什么？我担心我的生产服务器。
3. 微软推荐哪个更安全："NTLM“还是"Kerberos"？
4. 在什么情况下使用它？
5. 如果我不纠正这个错误，我将面临什么问题？

Answer 1

NTLM是一种挑战/响应类型系统，虽然它具有合理的安全级别，但它可能会受到攻击和凭据盗窃的困扰。事实上，NTLM V1是一个已知的攻击矢量，被认为是不安全的，应该在您的系统上禁用。NTLM V2更安全，并且是目前的标准。

克贝罗斯处理各方之间的相互身份验证，确保令牌是加密和安全的。我建议阅读Kerberos基本认证概念来处理它。阅读有点枯燥，但它会给你更多的理解。

其中，Kerberos的安全性要高得多，并且是Windows连接到Server的推荐协议。

要解决您的SPN问题，请使用SETSPN与服务器和服务帐户一起查找重复的票证，并查找副本。删除这些内容，然后调整Server服务帐户，使其允许使用自注册其服务主体名称。这将使它能够处理事情本身，这使生活变得容易得多。

您将不会遇到SQL的任何实际问题(除非您可能使用链接服务器，或者某些其他双跳类型的场景无法将票证传递给第二台计算机)，因此对您来说，它可能不是一个关键的修复方法。只有你的安全团队才能真正定义它。