Eu encontrei.
Eu registrei o SPN manualmente na conta de serviço e inspecionei o AD com o ADSIEdit, apenas para descobrir que os SPNs registrados manualmente não estavam armazenados no campo servicePrincipalName
da conta Computador , mas o campo servicePrincipalName
da conta específica Usuário .
Portanto, em vez de conceder aos meus grupos SQL Servers
direitos para registrar seus próprios SPNs, concedi (inadvertidamente) a eles os direitos de alterar os SPNs registrados pelos serviços executados como contas do Sistema Local / Serviço de Rede nesse computador. / p>
Agora removi o novo ACE do contêiner Computers
e, em vez disso, criei uma nova Unidade organizacional SQL Servers
. Eu adicionei uma ACE para SELF
a essa UO e a restrinjai para aplicar a usuários :
-
SQL Servers
OU ACL-
%código%
- Aplicar a: objetos de usuário descendente
- Ler servicePrincipalName: permitir
- Gravar servicePrincipalName: permitir
-
%código%
Agora, quando inicio minha instância do SQL Server, vejo a SELF
esperada e o Kerberos agora está sendo usado para minhas conexões remotas.
(Agora, para atualizar nossa documentação interna do processo, ela exige que novas contas de serviço do SQL Server sejam criadas sob a nova UO, em vez de serem adicionadas ao grupo)
Editar: Observe que um administrador de domínio também pode registrar manualmente os SPNs em uma conta de domínio usando The SQL Server Network Interface library successfully registered the Service Principal Name
.
setspn -S MSSQLSvc/myhost.redmond.microsoft.com:1433 DOMAIN\User
setspn -S MSSQLSvc/myhost.redmond.microsoft.com DOMAIN\User
Registre um nome principal de serviço para conexões Kerberos (TechNet) .
Editar 2: Se as propriedades setspn.exe
e Read servicePrincipalName
não estiverem visíveis na lista ACE, vá para a aba Editor de Atributos do do objeto Propriedades , clique no botão Filtro e verifique o seguinte:
- Mostrar apenas atributos com valores está desmarcado
- Mostrar apenas atributos graváveis é desmarcado
- Mostrar atributos: Obrigatório é marcado
- Mostrar atributos: opcional é marcado
- Mostrar atributos somente leitura: Construído é marcado
- Mostrar atributos somente leitura: o Backlink é verificado
- Mostrar atributos somente leitura: somente o sistema é verificado
(Outras combinações podem funcionar, mas isso é o que acontece comigo)