タグ付けされた質問 「spn」

Windows Server 2008 R2。 SQL Server 2008 R2がインストールされています。 MSSQLサービスはローカルシステムとして実行されます。 サーバーのFQDNはSQL01.domain.comです。 SQL01は、domain.comという名前のActive Directoryドメインに参加しています。 以下は、setspnの出力です。 C:\> setspn -L sql01 ... MSSQLSvc/SQL01.domain.com:1433 MSSQLSvc/SQL01.domain.com WSMAN/SQL01.domain.com WSMAN/SQL01 TERMSRV/SQL01.domain.com TERMSRV/SQL01 RestrictedKrbHost/SQL01 RestrictedKrbHost/SQL01.domain.com HOST/SQL01.domain.com HOST/SQL01 次に、SQL Server Management Studioを起動して、SQL01に接続します。 次に、次のクエリを実行します。 SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@spid そしてその結果がNTLMです。結果がKerberosではないのはなぜですか？SPNは、ローカルシステムアカウントを使用するために正しいようです。サーバーがクラスター内にないか、CNAMEを使用していません。

12 sql-server  kerberos  sql-server-2008-r2  spn 

いくつかのドキュメントによると、SQLサーバーのサービスアカウントを読んだところ、データベースエンジンの起動時にSPNが作成され、Kerberos認証が可能になります。SPNを作成するためにアカウントが必要とする権限を示すドキュメントを見つけることができませんでした。それでは、SPNを作成するために、アカウントにはどのようなアクセス許可が必要ですか（可能な場合はドメイン管理者を除外する）。

11 active-directory  permissions  kerberos  spn 

AD属性をクエリするPythonサービスの作成 SAS 2012上でPython-LDAP over SASL（DIGEST-MD5）を使用してLinuxでPythonを実行するWebサービスとADを統合し、AD 2012ユーザー属性（部門、部門、内線番号、電子メールなど）をクエリします。AD 2003に対するサービスに固有の問題を解決した後、新しいAD 2012に対してSPNエラーが発生し始めました。ダイジェストURIがサーバー上のSPNと一致していません。両方のサーバーのSPNリストを相互参照しましたが、それらには互いに同じ類似物が含まれています。 エラー：digest-uriは、このサーバーに登録されているLDAP SPNと一致しません 修正？ これは以下を実行することで修正されました： setspn -A ldap/<Domain_Name> <Computer_Name> 次のコマンドを実行しても、サービスアカウントを作成してもSPNエラーは修正されませんでした。 setspn -A ldap/<Domain_Name> <Domain_Name>/<Service_Account_Name> simple_bind_s（）にはSPNは必要ありません、sasl_interactive_bind_s（）にはSPNが必要です ローカルマシンのSPNリストにSPNを追加するだけで、sasl_interactive_bind_s（）を使用したPython-LDAPサービスで機能しました。また、simple_bind_s（）を使用するとSPNステップをスキップできることにも注意してください。ただし、このメソッドは資格情報をクリアテキストで送信するため、許可されません。 ただし、レコードがSPNリストに1分間しか表示されずに消えてしまうことに気づきましたか。setspnコマンドを実行してもエラーは発生しません。イベントログは完全に空で、重複はありません。ベースdnで-Fフォレスト全体の検索でチェックされ、何もありません。SPNを追加して削除し、オブジェクトからオブジェクトに移動して、どこにも隠れていないことを確認しましたが、2番目にオブジェクトをどこかに追加してから再度追加しようとすると、重複が通知されます。ですから、どこかに隠されている複製がないと私は確信しています。 ハック 今のところ、スケジュールされたタスクを実行してコマンドを再実行し、レコードをリストに保持して、サービスが「SPN Hack」という名前で適切に機能するようにします cmd.exe /C "setspn -A ldap/<Domain_Name> <Computer_Name>" SPNがリストから削除されている理由がわかるまで。 私はこの特定のADのプライマリ管理者ではありません。管理者は、ADの別のサービスからSPNを同期するサービスを実行していて、それを認識できませんか？私のタイトルは言い訳としてではなく、Active Directoryに関する私の無知を説明するためのWeb開発者です。ADをマスターユーザーDBにするように言われ、多くのことを読んでいましたが、SPNが定期的に「上書き」または「クリーンアップ」されている問題が発生している場所はどこにもありません。管理者は、SQLServerエントリ以外のSPNに精通しています。 なぜハックが必要なのですか？ これまでのところ、私のハッキングによってユーザーやサービスに問題が発生したことはなく、エラーも発生していません。そのため、管理者は実行を許可するだけなので、引き続き調査します。しかし、私は、実装が組み込まれているサービス、本質的にはcronハック/ shiverを作成するという不安定な状況に身を置いていることに気づきます。 更新 システム管理者との会話の後、ハックの上にサービスを構築することは解決策ではないことに同意しました。したがって、目的に使用できるエンドポイント暗号化を使用してローカルサービスを起動する許可を彼に与えられました。結果は同じです。SPNがクリアされる原因を監視します。ローカルバインドはPython-LDAPを使用しても問題にならず、ローカルサービスは1時間ほどですでに稼働しています。基本的にLDAPに組み込まれている機能をラップしているのは残念ですが、私たちがしなければならないことは行います。

8 active-directory  ldap  python  spn 

Setspn OverviewによるとSetspn -A、SPNレコードを追加するために使用することはお勧めしませんSetspn -S。代わりに使用することをお勧めします。 Setspn -S新しいSPNを追加する前に、SPNが既に存在するかどうかを確認すると言われています。Setspn –Aこのチェックは実行されません。 Setspn -Aを使用してSPNを追加することもできますが、-Sは重複するSPNがないことを確認するため、代わりにSetspn -Sを使用する必要があります。 ただしWindows Serverの2012年に私がいることを確認Setspn -Sし、Setspn -A同じように動作：アカウントのSPNレコードがその後、存在する場合、私は両方の失敗を取得-Aし、-S引数を指定します。 との間に実際の違いはSetspn -SありSetspn -Aますか？

8 windows  windows-server-2012  spn 

Windown Server 2008ドメインコントローラーで、Communigate電子メールサーバーからのKerberos認証を有効にするために、ユーザーアカウント 'Postmaster'にサービスプリンシパル名（SPN）を追加しようとしています。私が使用しているコマンドラインは次の形式です。 setspn -a imap/email-domain.com windows-domain\postmaster このコマンドを実行すると、結果が得られます。 Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com imap/email-domain.com Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 -> Insufficient access rights to perform the operation. 私はDomain Adminsグループのユーザーとしてログインしているので、これは最も興味深いものです。このアカウントの有効な権限を確認しましたが、含まれていない権限はありません。別の管理者アカウントも試しましたが、結果は同じでした。 除外するために、ユーザーPostmasterもDomain Adminsに追加しましたが、結果に変更はありません。 このコマンドをドメインコントローラーインスタンスで直接実行しています。SPNに問題なくクエリを実行できますが、SPNを記述できないようです。 また、ktpassを使用して目的のユーザーに間接的にSPNを設定しようとしましたが、警告が表示されました。 WARNING: Unable to set SPN mapping data. ...これは、同じ不十分なアクセス問題の症状だと思います。 このエラーの原因は何ですか？

8 windows-server-2008  kerberos  permissions  spn