28. Juni 2016

Ändern Dienstkonto für MS SQL Server 2012 und die folgenden Fragen

Angenommen, Sie müssen Dienstkonto für Microsoft SQL Server 2012 Service ändern. Wenn es früher System war, dann jetzt müssen Sie unter einem Domänenkonto zu arbeiten.

Verfahren selbst Rechnungs Wechsel ist ganz einfach. Starten Sie Sql Server Configuration Manager und in SQL Server Services Unterstruktur ändern Eigenschaften des Dienstes.

Probleme werden Sie nach dem Ändern Dienstkonto von Microsoft SQL Server 2012 auftreten

Problem №1.

Sehr möglich, erhalten Sie eine Fehlermeldung erhalten, wenn sie versuchen, Remote-SQL-Server anmelden jede Domain-Konto. Zur gleichen Zeit werden Sie noch in der Lage sein, lokal anmelden (meine ich - im Umgang mit Management Studio aus dem gleichen SQL-Server anmelden) - ohne Probleme.

Der Grund hierfür ist in der falschen SPN-Rekord in Active Directory-Domäne, die für Computerkonto erstellt wurde (und jetzt ist es erforderlich, für das neue Dienstkonto erstellt werden). In der Regel versucht, SQL-Server, um seine SPN-Rekord in der Domäne zu aktualisieren. Aber in diesem Fall kann es dies nicht tun, und in den SQL-Server-Protokolle (nicht im Windows-Ereignisprotokoll ) finden Sie die folgenden Fehler finden:

The SQL Server Network Interface library could not register the Service Principal Name (SPN) [ MSSQLSvc/alwayson-tst-1.domain.local:1433 ] for the SQL Server service. Windows return code: 0x2098, state: 15. Failure to register a SPN might cause integrated authentication to use NTLM instead of Kerberos. This is an informational message. Further action is only required if Kerberos authentication is required by authentication policies and if the SPN has not been manually registered.

The SQL Server Network Interface library could not register the Service Principal Name (SPN) [ MSSQLSvc/alwayson-tst-1.domain.local ] for the SQL Server service. Windows return code: 0x2098, state: 15. Failure to register a SPN might cause integrated authentication to use NTLM instead of Kerberos. This is an informational message. Further action is only required if Kerberos authentication is required by authentication policies and if the SPN has not been manually registered.

OK, das ist kein großes Problem. Gehen Sie auf die Domänencontroller , öffnen Sie ADSI-Bearbeitung, Ihr neues Konto für den SQL-Server, öffnen Sie die Eigenschaften und öffnen Registerkarte Sicherheit finden. Dann - Schaltfläche Erweitert. Wählen Sie einen beliebigen ACL aufnehmen, wo Principal - SELF, und beziehen sich auf - nur dieses Objekt.

Legen Sie die folgenden Eigenschaften und gelten sie:

Read servicePrincipalName
Write servicePrincipalName

Und SQL-Dienste neu zu starten.

Problem №2.

Leider nach richtigen Sicherheitseigenschaften für das Dienstkonto in AD Einstellung, gibt es eine Möglichkeit (aber - nicht notwendig), die Remote-Login möglich immer noch nicht funktionieren. Und die Fehler in SQL-Protokolle wie folgt ändern:

The SQL Server Network Interface library could not register the Service Principal Name (SPN) [ MSSQLSvc/alwayson-tst-2.domain.local:1433 ] for the SQL Server service. Windows return code: 0x21c7, state: 15. Failure to register a SPN might cause integrated authentication to use NTLM instead of Kerberos. This is an informational message. Further action is only required if Kerberos authentication is required by authentication policies and if the SPN has not been manually registered.

The SQL Server Network Interface library could not register the Service Principal Name (SPN) [ MSSQLSvc/alwayson-tst-2.domain.local ] for the SQL Server service. Windows return code: 0x21c7, state: 15. Failure to register a SPN might cause integrated authentication to use NTLM instead of Kerberos. This is an informational message. Further action is only required if Kerberos authentication is required by authentication policies and if the SPN has not been manually registered.

Fehler 0x21c7 bedeutet, dass der Wert für den neuen SPN-Eintrag, der (nicht vergessen - SQL-Server versuchen, jedem Start, sie zu aktualisieren) ist nicht eindeutig innerhalb der Active Directory-Gesamtstruktur . D. h Wert, der Dienst versucht, auf die AD zu schreiben, gibt es bereits irgendwo. Lassen Sie uns das Computerkonto überprüfen.

Also zurück zum Domain Controller:

C:\Users\user>setspn -l alwayson-tst-2
Registered ServicePrincipalNames for CN=ALWAYSON-TST-2,CN=Computers,DC=domain,DC=local:
        MSSQLSvc/alwayson-tst-2.domain.local
        MSSQLSvc/alwayson-tst-2.domain.local:1433
        MSServerClusterMgmtAPI/ALWAYSON-TST-2
        MSServerClusterMgmtAPI/alwayson-tst-2.domain.local
        TERMSRV/ALWAYSON-TST-2
        TERMSRV/alwayson-tst-2.domain.local
        WSMAN/alwayson-tst-2
        WSMAN/alwayson-tst-2.domain.local
        RestrictedKrbHost/ALWAYSON-TST-2
        HOST/ALWAYSON-TST-2
        RestrictedKrbHost/alwayson-tst-2.domain.local
        HOST/alwayson-tst-2.domain.local

Wirklich, es gibt SPN-records "gebunden" auf das Computerkonto . Sie werden sie zu löschen müssen:

C:\Users\user>setspn -d MSSQLSvc/alwayson-tst-2.domain.local  alwayson-tst-2

Unregistering ServicePrincipalNames for CN=ALWAYSON-TST-2,CN=Computers,DC=domain,DC=local
        MSSQLSvc/alwayson-tst-2.domain.local
Updated object

C:\Users\user>setspn -d MSSQLSvc/alwayson-tst-2.domain.local:1433  alwayson-tst-2
Unregistering ServicePrincipalNames for CN=ALWAYSON-TST-2,CN=Computers,DC=domain,DC=local
        MSSQLSvc/alwayson-tst-2.domain.local:1433
Updated object

C:\Users\user>setspn -l alwayson-tst-2
Registered ServicePrincipalNames for CN=ALWAYSON-TST-2,CN=Computers,DC=domain,DC=local:
        MSServerClusterMgmtAPI/ALWAYSON-TST-2
        MSServerClusterMgmtAPI/alwayson-tst-2.domain.local
        TERMSRV/ALWAYSON-TST-2
        TERMSRV/alwayson-tst-2.domain.local
        WSMAN/alwayson-tst-2
        WSMAN/alwayson-tst-2.domain.local
        RestrictedKrbHost/ALWAYSON-TST-2
        HOST/ALWAYSON-TST-2
        RestrictedKrbHost/alwayson-tst-2.domain.local
        HOST/alwayson-tst-2.domain.local

Wie Sie sehen können, werden nicht mehr benötigte Datensätze gelöscht. Jetzt können Sie versuchen, SQL-Server neu zu starten und die Protokolle noch einmal überprüfen. Das solltest du sehen:

The SQL Server Network Interface library successfully registered the Service Principal Name (SPN) [ MSSQLSvc/alwayson-tst-1.domain.local:1433 ] for the SQL Server service.

The SQL Server Network Interface library successfully registered the Service Principal Name (SPN) [ MSSQLSvc/alwayson-tst-1.domain.local ] for the SQL Server service.

Anmeldung Jetzt Fern sollte auch in Arbeit.

ms sql server (de), sql 2012 (de)

Last updated on 28. Juni 2016.
Zugriffe: 3541

Kommentar schreiben

Ändern Dienstkonto für MS SQL Server 2012 und die folgenden Fragen

Probleme werden Sie nach dem Ändern Dienstkonto von Microsoft SQL Server 2012 auftreten

Problem №1.

Problem №2.

Related Articles

Finden Sie Server mit MS SQL Server mit Powershell installiert

Transparent Data Encryption / TDE in SQL Server: Freigabe, Schlüssel & Zertifikate, Sicherungen, Wiederherstellung

Zugriff auf Azure SQL PaaS gewähren

Massenimport in MS SQL-Datenbank Skript mit Powershell

Cookie-Richtlinie

Cookie-Richtlinie für B-blog.info

Was sind Cookies

Wie wir Cookies verwenden

Cookies deaktivieren

Die von uns gesetzten Cookies

Cookies von Drittanbietern

Weitere Informationen