Имена субъектов-служб
Имя субъекта-службы (SPN) — это уникальный идентификатор экземпляра службы. Проверка подлинности Kerberos использует имена субъектов-служб для связывания экземпляра службы с учетной записью для входа в службу. Это позволяет клиентскому приложению запрашивать проверку подлинности службы для учетной записи, даже если у клиента нет имени учетной записи.
Если на компьютерах в лесу установлено несколько экземпляров службы, то каждый экземпляр должен иметь свое имя участника-службы. При наличии нескольких имен, которые клиенты могут использовать для проверки подлинности, экземпляр службы может иметь несколько имен субъектов-служб. Например, так как имя субъекта-службы всегда включает имя главного компьютера, на котором запущен экземпляр службы, экземпляр службы может зарегистрировать несколько имен субъектов-служб, по одному для каждого имени или псевдонима узла. Дополнительные сведения о формате имени субъекта-службы и создании уникального имени субъекта-службы см. в разделе Форматы имен для уникальных имен субъектов-служб.
Прежде чем служба проверки подлинности Kerberos сможет использовать имя субъекта-службы для проверки подлинности службы, имя субъекта-службы должно быть зарегистрировано в объекте учетной записи, используемом экземпляром службы для входа. Данное имя субъекта-службы можно зарегистрировать только в одной учетной записи. Для служб Win32 установщик службы указывает учетную запись входа при установке экземпляра службы. Затем установщик создает имена субъектов-служб и записывает их в качестве свойства объекта учетной записи в доменные службы Active Directory. Если учетная запись для входа экземпляра службы изменяется, имена субъектов-служб должны быть повторно зарегистрированы в новой учетной записи. Дополнительные сведения см. в разделе Как служба регистрирует свои имена субъектов-служб.
Когда клиент хочет подключиться к службе, он определяет местонахождение экземпляра службы, составляет для него основное имя, подключается к службе и представляет ей это имя для проверки подлинности. Дополнительные сведения см. в статье Как клиенты составляют имя субъекта-службы службы.
В этом разделе
В этом разделе рассматриваются следующие темы:
- Форматы имен для уникальных имен субъектов-служб
- Как служба составляет свои имена субъектов-служб
- Как служба регистрирует свои имена субъектов-служб
- Как клиенты составляют имя субъекта-службы службы
См. также раздел
- Что такое имя субъекта-службы и зачем это важно?
- Взаимная проверка подлинности с помощью Kerberos
Service Principal Name (SPN)
Service Principal Name (SPN) — Первичное имя сервиса. Это в некотором роде Windows аналог /etc/hosts в Linux. Здесь указываются имена сервера, которые используются установленными на нём сервисами. Только в SPN могут заводиться записи не только для компьютеров, но и для пользователей. Официальное название объекта в SPN: участник-служба.
Команда setspn
- Посмотреть все записи SPN можно командой:
setspn -L
- Добавить новый новое DNS имя newname.domain.local для сервера servname можно командой:
setspn -a host/newname.domain.local servname
- команда setspn запущенная без параметров, покажет как и для чего ей можно пользоваться, а также предоставит примеры.
Работа над ошибками
Не доступны сетевые ресурсы сервера по DNS имени
Такое может произойти в случае если DNS имя компьютера не совпадает c «простым» NetBIOS именем.
Например, у нас компьютера (сервер) имеет несколько имён:
- Alfa — простое имя компьютера, имя NetBIOS
- alfa.domain.local — имя в домене , но мы также создали ему псевдоним (алиас, alias, CNAME запись в DNS)
- music.domain.local — псевдоним (алиас, alias, CNAME запись в DNS) по выполняемой функции
- zeta.domain2.local — DNS имя (CNAME запись) в другом домене
В описанном случае замечались проблемы с получением списка SMB ресурсов сервера по DNS имени, хотя все имена разрешались (резолвились) корректно и пинговались (ping). Причём проблема была при обращение с компьютеров Windows XP, с Windows 7 все ресурсы были доступны.
Решается проблема добавлением SPN записей на сервере (не всегда [1] ). Для нашего случая это выполняется командами, запускаемыми на alfa:
setspn -a host/music.domain.local alfa setspn -a host/zeta.domain2.local alfa
- ↑ Проблема решается не всегда. Windows XP использует для обращения к сетевым файловым ресурсам UNC имена и DNS не понимает. Однако, если последний уровень DNS имени совпадает с NetBIOS именем, то работать будет, например alfa.domain.local и alfa
Полезные ссылки
- Service Principal Names — официальное описание Microsoft (англ.)
- Connecting to SMB share on a Windows 2000-based computer or a Windows Server 2003-based computer may not work with an alias name — описание решения проблем обращения к сетевым ресурсам по псевдониму (alias) сервера (англ.)
Как настроить SPN (Service Principal Name) в SQL Server и динамическая регистрация SPN
Всем привет, сегодня хочу вам рассказать как настраивать SPN в Active Directory, на примере SPN для MS SQL Server 2012. В процессе загрузки свежее установленного экземпляра SQL Server в его логе можно обнаружить ошибку регистрации SPN, в случае если службы SQL Server запускаются от имени пользовательской доменной учетной записи. Необходимо зарегистрировать имя участника-службы (SPN — Service Principal Name) для учетной записи службы SQL Server, чтобы в работе службы могла использоваться проверка подлинности с помощью протокола Kerberos.
Для того чтобы получить информацию о том, что на доменной учетной записи, от имени которой производится запуск SQL Server действительно не зарегистрировано SPN связанных с SQL с помощью утилиты SetSPN выполним команду:
В нашем примере KOM-AD01-DB03 — это имя сервера SQL, а s-KOM-AD01-DB03-SQL01 — это имя пользовательской доменной учетной записи, из под которой запускаются службы SQL Server на этом сервере.
Как настроить SPN (Service Principal Name) в SQL Server и динамическая регистрация SPN-02
Как настроить SPN (Service Principal Name) в SQL Server и динамическая регистрация SPN-03
открыв свойства соответствующей учётной записи и перейдя на вкладку редактирования атрибутов можно посмотреть и изменить значение атрибута servicePrincipalName
Как настроить SPN (Service Principal Name) в SQL Server и динамическая регистрация SPN-04
Для того чтобы обеспечить нужное для корректной работы Kerberos содержание атрибута servicePrincipalName можно пойти двумя путями:
- Создать необходимую SPN запись вручную с помощью утилиты SetSPN. Синтаксис команд будет следующий:
setspn –S MSSQLSvc/SQLServerFQDN:1433 DomainSQLAccount
setspn –S MSSQLSvc/SQLServerFQDN DomainSQLAccount
пример setspn -S MSSQLSvc/server19.contoso.com:1433 sqlservice (имя учетки запуска)
setspn -S MSSQLSvc/server19.contoso.com:MSSQL2012 sqlservice
- Разрешить учетной записи, от имени которой запускается SQL Server, динамическое обновление атрибута servicePrincipalName, выдав разрешения на чтение и запись атрибута servicePrincipalName. Для того чтобы выполнить второй вариант, откроем оснастку ADSIEdit.msc, перейдём к свойствам объекта – учетной записи. На закладке “Безопасность” (Security) нажмём кнопу “Дополнительно” (Advanced)
Как настроить SPN (Service Principal Name) в SQL Server и динамическая регистрация SPN-05
В диалоговом окне «Дополнительные параметры безопасности» (Advanced Security Settings) нажмём кнопку «Добавить» (Add)
Как настроить SPN (Service Principal Name) в SQL Server и динамическая регистрация SPN-06
введём SELF и в открывшемся окне перейдём на закладку «Свойства» (Properties). В окне выбора области применения выберем пункт «Только этот объект» (This object only) и в списке разрешений отметим два пункта:
Как настроить SPN (Service Principal Name) в SQL Server и динамическая регистрация SPN-07
Сохраним внесённые изменения и затем, при запуске службы SQL Server, сможем убедиться в том, что в журнале регистрации событий появилась запись об успешном создании SPN
Как настроить SPN (Service Principal Name) в SQL Server и динамическая регистрация SPN-08
а так же увидим что вывод утилиты SetSPN изменился
Как настроить SPN (Service Principal Name) в SQL Server и динамическая регистрация SPN-09
Как удалить SPN
setspn -d MSSQLSvc/server19.ваш домен:1433 имя учетной записи от имени которой запускается sql
setspn -d MSSQLSvc/server19.ваш домен:MSSQL2012 имя учетной записи от имени которой запускается sql
setspn -D MSSQLSvc/virt163.contoso.com:1433 sqlservice
setspn -D MSSQLSvc/virt163.contoso.com sqlservice
Вот пример ситуации когда нужно удаление. Был раньше сервер virt105 и использовался под одни нужды, сервер удален. После по этому же имени virt105 подняли другой сервер, и столкнулись с тем, что SPN уже был занят. Вот запрос на проверку SPN у virt105
Далее попытка его зарегистрировать, и видим, что он уже есть на учетную запись Семина Ивана
После удаления старого SPN, по новому все зарегистрировалось.
Популярные Похожие записи:
Не удалось назначить SPN учетной записи, ошибка 0x21c7/8647
База данных диспетчера учетных записей на сервере не содержит записи
Ошибка запуска службы «error 1069 the service did not start»- Как переместить базу данных ADFS SQL с одного сервера на другой
Как дать права на Deleted Objects в Active Directory- NLB: Access denied. Error connecting to server
Регистрация имени субъекта-службы для подключений Kerberos
Чтобы использовать проверку подлинности Kerberos с SQL Server, оба из следующих условий должны иметь значение true:
- Компьютеры клиента и сервера должны быть частью одного домена Windows или доверенных доменов.
- Имя участника-службы (SPN) должно быть зарегистрировано в службе каталогов Active Directory, которая играет роль центра распределения ключей в домене Windows. Имя субъекта-службы после регистрации сопоставляется с учетной записью Windows, запустившей экземпляр службы SQL Server. Если регистрация имени субъекта-службы не выполнена или завершилась неудачно, уровень безопасности Windows не может определить учетную запись, связанную с именем субъекта-службы, и проверка подлинности Kerberos не используется.
Примечание. Если сервер не может автоматически зарегистрировать имя субъекта-службы, имя следует зарегистрировать вручную. См. раздел Регистрация имени участника-службы вручную.
Вы можете убедиться, что подключение использует Kerberos, запрашивая динамическое sys.dm_exec_connections представление управления. Запустите следующий запрос и проверьте значение столбца auth_scheme , который является KERBEROS включенным Kerberos.
SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@SPID; Диспетчер конфигурации Microsoft Kerberos для SQL Server — это диагностическое средство, которое помогает устранять неполадки Kerberos, связанные с проблемами подключения при использовании SQL Server. Дополнительные сведения см. в разделе Диспетчер конфигурации Microsoft Kerberos для SQL Server.
Роль имени участника-службы в проверке подлинности
Когда приложение открывает подключение и использует проверку подлинности Windows, SQL Server Native Client передает имя компьютера, имя экземпляра и имя субъекта-службы (необязательно) SQL Server. Если соединение передает имя субъекта-службы, оно используется без изменений.
Если соединение не передает имя субъекта-службы, создается имя субъекта-службы по умолчанию, основанное на используемом протоколе, имени сервера и имени экземпляра.
В обоих предыдущих сценариях имя участника-службы отправляется в центр распределения ключей, чтобы получить токен безопасности для проверки подлинности соединения. Если токен безопасности невозможно получить, проверка подлинности использует NTLM.
Имя участника-службы — это имя, по которому клиент однозначно идентифицирует экземпляр службы. Служба проверки подлинности Kerberos может использовать основное имя для проверки подлинности служб. Когда клиент хочет подключиться к службе, он определяет местонахождение экземпляра службы, составляет для него основное имя, подключается к службе и представляет ей это имя для проверки подлинности.
Сведения в этой статье также относятся к конфигурациям SQL Server, которые используют кластеризацию.
Для входа на SQL Server рекомендуется использовать проверку подлинности Windows. Клиенты, использующие проверку подлинности Windows, проходят проверку подлинности NTLM или Kerberos. В среде Active Directory сначала всегда выполняется проверка подлинности по протоколу Kerberos.
Разрешения
При запуске службы ядра СУБД выполняется попытка регистрации имени субъекта-службы (SPN). Предположим, что учетная запись, запускающая SQL Server, не имеет разрешения на регистрацию имени субъекта-службы в доменных службах Active Directory. В этом случае этот вызов завершается ошибкой, и предупреждение регистрируется как в журнале событий приложения, так и в журнале ошибок SQL Server.
Чтобы зарегистрировать имя субъекта-службы, ядро СУБД должно работать под встроенной учетной записью, например Local System (не рекомендуется), или NETWORK SERVICE учетной записью, которая имеет разрешение на регистрацию имени участника-службы. Вы можете зарегистрировать имя субъекта-службы с помощью учетной записи администратора домена, но это не рекомендуется в рабочей среде. SQL Server можно запустить с помощью виртуальной учетной записи или управляемой учетной записи службы (MSA). Виртуальные учетные записи и MSAs могут зарегистрировать имя субъекта-службы. Если SQL Server не запускается ни под одной из этих учетных записей, имя субъекта-службы не регистрируется при запуске, и администратору домена необходимо зарегистрировать имя вручную.
Форматы имени участника-службы
Формат имени субъекта-службы поддерживает проверку подлинности Kerberos в TCP/IP, именованных каналах и общей памяти. Для именованных экземпляров и экземпляров по умолчанию поддерживаются следующие форматы имени участника-службы.
Именованный экземпляр
- MSSQLSvc/:[ | ], где:
- MSSQLSvc — это зарегистрированная служба.
- — полное доменное имя сервера.
- — номер порта TCP.
- — имя экземпляра SQL Server.
Экземпляр по умолчанию
- MSSQLSvc/: | MSSQLSvc/ , где:
- MSSQLSvc — это зарегистрированная служба.
- — полное доменное имя сервера.
- — номер порта TCP.
Форматы имени субъекта-службы Описание MSSQLSvc/: 1 Сформированное поставщиком имя участника-службы для экземпляра по умолчанию, когда используется протокол TCP. — номер порта TCP. MSSQLSvc/ Сформированное поставщиком имя участника-службы для экземпляра по умолчанию, когда используется протокол, отличный от TCP. — полное доменное имя. MSSQLSvc/: Сформированное поставщиком имя участника-службы (по умолчанию) для именованного экземпляра, когда используется протокол, отличный от TCP. — имя экземпляра SQL Server. 1 Формат имени участника-службы не требует номера порта. Сервер с несколькими портами или протокол, который не использует номера портов, по-прежнему может использовать проверку подлинности Kerberos.
Для подключения TCP/IP, где TCP-порт включен в имя субъекта-службы, SQL Server должен включить протокол TCP для подключения пользователя с помощью проверки подлинности Kerberos.
Автоматическая регистрация имени участника-службы
При запуске экземпляра ядра СУБД SQL Server SQL Server пытается зарегистрировать имя субъекта-службы для службы SQL Server. Если экземпляр остановлен, SQL Server попытается отменить регистрацию имени субъекта-службы (SPN). Для подключения TCP/IP имя субъекта-службы регистрируется в формате MSSQLSvc/: . Именованные экземпляры и экземпляр по умолчанию регистрируются как MSSQLSvc , опираясь на значение, чтобы отличить экземпляры.
Для других подключений, поддерживающих Kerberos, имя субъекта-службы зарегистрировано в формате MSSQLSvc/: именованного экземпляра. Формат регистрации экземпляра MSSQLSvc/ по умолчанию.
Чтобы предоставить разрешения учетной записи запуска SQL Server, зарегистрировать и изменить имя субъекта-службы, выполните следующие действия.
- На компьютере контроллера домена перейдите к пользователям и компьютерам Active Directory.
- ВыберитеВид > Дополнительно.
- В разделе Компьютеры найдите компьютер SQL Server, а затем щелкните его правой кнопкой мыши и выберите Свойства.
- Перейдите на вкладку «Безопасность» и нажмите кнопку «Дополнительно«.
- В списке, если учетная запись запуска SQL Server не указана, нажмите кнопку «Добавить «, чтобы добавить ее. После добавления выполните следующие действия.
- Выберите учетную запись и нажмите кнопку «Изменить«.
- В разделе «Разрешения» выберите Удостоверенная запись servicePrincipalName.
- Выполните прокрутку вниз и в разделе Свойства выберите:
- Чтение servicePrincipalName
- Запись servicePrincipalName
- Нажмите дважды кнопку ОК.
Если учетная запись службы не обладает разрешениями на регистрацию и отмену регистрации имени участника-службы, возможно, эти действия придется выполнить вручную.
Регистрация имени участника-службы вручную
Чтобы зарегистрировать имя участника-службы вручную, можно использовать средство setpn , встроенное в Windows. setspn.exe — это средство командной строки, позволяющее читать, изменять и удалять свойство каталога субъектов-служб. Это средство также позволяет просматривать текущие имена участников-служб, устанавливать значения по умолчанию для имен участников-служб учетных записей и добавлять или удалять дополнительные имена участников-служб.
Дополнительные сведения о средстве setpn , необходимые разрешения и примеры использования, просмотрите setpn.
В следующем примере демонстрируется синтаксис, используемый для ручной регистрации имени субъекта-службы для соединения TCP/IP с помощью учетной записи пользователя домена.
setspn -S MSSQLSvc/myhost.redmond.microsoft.com:1433 redmond\accountnameЕсли имя участника-службы уже существует, то перед повторной регистрацией его необходимо удалить. Это можно сделать с помощью setpn с коммутатором -D . В следующих примерах демонстрируется регистрация вручную нового имени участника-службы, основанного на экземпляре. Для экземпляра по умолчанию, использующего учетную запись пользователя домена следует использовать:
setspn -S MSSQLSvc/myhost.redmond.microsoft.com redmond\accountnameДля именованного экземпляра следует использовать:
setspn -S MSSQLSvc/myhost.redmond.microsoft.com:instancename redmond\accountnameДополнительные сведения о конфигурациях группы доступности AlwaysOn см. в статьях «Прослушиватели» и «Kerberos» (SPN).
Клиентские подключения
Указанные пользователями имена участников-служб поддерживаются клиентскими драйверами. Однако если имя субъекта-службы не предоставлено, оно создается автоматически на основе типа клиентского подключения. Для TCP-подключения имя субъекта-службы в формате MSSQLSvc/FQDN:[] используется как для именованных, так и для экземпляров по умолчанию.
Для именованных каналов и подключений к общей памяти имя субъекта-службы в формате MSSQLSvc/: используется для именованного экземпляра и MSSQLSvc/ используется для экземпляра по умолчанию.
Использование учетной записи службы в качестве имени субъекта-службы
Учетные записи служб могут быть использованы в качестве имен участников-служб. Они указываются с помощью атрибута соединения для проверки подлинности Kerberos и имеют следующие форматы:
- username\@domain или domain\username для учетной записи пользователя домена
- machine$\@domain или host\FQDN для учетной записи домена компьютера, например Local System или NETWORK SERVICE .
Чтобы определить метод проверки подлинности соединения, выполните следующий запрос.
SELECT net_transport, auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@SPID;Параметры проверки подлинности по умолчанию
В следующей таблице описываются значения по умолчанию для проверки подлинности, используемые, основываясь на сценариях регистрации имен участника-службы.
Сценарий Метод проверки подлинности Имя участника-службы сопоставляется с правильной учетной записью домена, виртуальной учетной записью, управляемой учетной записью службы или встроенной учетной записью. Например, Local System или NETWORK SERVICE . Локальные соединения используют протокол NTLM, удаленные — протокол Kerberos. Имя участника-службы является правильной учетной записью домена, виртуальной учетной записью, управляемой учетной записью службы или встроенной учетной записью. Локальные соединения используют протокол NTLM, удаленные — протокол Kerberos. Имя участника-службы сопоставляется с неправильной учетной записью домена, виртуальной учетной записью, управляемой учетной записью службы или встроенной учетной записью. Проверка подлинности не пройдена. Поиск имени субъекта-службы завершается ошибкой или не сопоставляется с правильной учетной записью домена, виртуальной учетной записью, управляемой учетной записью службы, встроенной учетной записью, либо не является правильной учетной записью домена, виртуальной учетной записью, управляемой учетной записью службы или встроенной учетной записью. Протокол NTLM используется в локальных и удаленных соединениях. Правильным будет сопоставление, при котором зарегистрированное имя субъекта-службы сопоставляется с учетной записью, с помощью которой запущена служба SQL Server.
Комментарии
В выделенном административном соединении (DAC) используется имя субъекта-службы, основанное на имени экземпляра. Проверку подлинности по протоколу Kerberos можно использовать, если имя участника-службы было успешно зарегистрировано. В качестве альтернативы пользователь может указать в качестве имени участника-службы имя учетной записи.
Если во время запуска происходит ошибка регистрации имени субъекта-службы, она заносится в журнал ошибок SQL Server, после чего установка продолжается.
Если дерегистрация имени субъекта-службы завершается сбоем во время завершения работы, эта ошибка записывается в журнал ошибок SQL Server и продолжается завершение работы.
Дальнейшие действия
- Поддержка имени субъекта-службы в клиентских соединениях
- Имена субъекта-службы в клиентских соединениях (OLE DB)
- Имена субъектов-служб в клиентских соединениях (ODBC)
- Компоненты собственного клиента SQL Server
- Управление проблемами проверки подлинности по протоколу Kerberos в средах служб Reporting Service