O kerberos funcionará com CNAMEs se eu tiver criado o SPN para o registro A também?

Navegue suas respostas
5

No momento, estamos configurando um ambiente SQL 2012 e ele será usado para armazenar dados que serão acessados pelo SSRS no modo integrado do sharepoint. Nós estaremos usando o Kerberos para autenticação.

Algo que gostaríamos de poder usar é o nome do servidor sql. Estamos usando a instância padrão e exigimos apenas uma instância por servidor.

O que me preocupa é o problema conhecido com o kerberos, IE / .NET e CNAMEs. Eu queria saber se essa configuração funcionará, desde que eu garanta que os SPNs estão configurados corretamente para o CNAME e o A-Record do servidor SQL?

    
por AnthonyM 21.02.2013 / 23:03

2 respostas

2

No começo, eu queria muito dizer não, você não pode fazer isso, mas pensando bem, vá em frente.

"“You must register the Kerberos service principal names (SPNs), the host name, and the fully-qualified domain name (FQDN) for all the new DNS alias (CNAME) records. If you do not do this, a Kerberos ticket request for a DNS alias (CNAME) record may fail and return the error code KDC_ERR_S_SPRINCIPAL_UNKNOWN.”

link

For follow up I can confirm that the kerberos connection is established correctly. Thanks for the link as it confirms that only a CNAME is needed as long as the SPN is created for the SQL Cluster Name.

link

Technically, because SQL Server SPNs include an instance name (if you are using the second-named instance on the same computer), you can register the DNS host for the cluster as a CNAME alias and avoid the CNAME issue described in Appendix A, Kerberos configuration known issues (SharePoint Server 2010). However, if you choose to use CNAMEs, you have to register an SPN using the DNS (A) record host name for the CNAME aliases.

link

    
por 22.02.2013 / 00:40
1

Você pode registrar um SPN para um CNAME. Nós fazemos onde eu trabalho e funciona.

    
por 22.02.2013 / 01:36

Tags

Como posso configurar o openvpn para o tráfego de proxy apenas para processos que se ligam à interface do tun? VOIP transatlântico