Nevek bejegyzését a résztvevők a Kerberos szolgáltatás fájl
Saját webszolgáltatások XML támogatással elavult. A jövőben változata a Microsoft SQL Server, ez a funkció eltávolításra kerül. Ne használja ezt a funkciót az új fejlesztési munka és a terv módosítására alkalmazásoknál, ahol alkalmazzák.
Amikor létrehoz vagy módosít HTTP végpontok utasítások segítségével CREATE ENDPOINT vagy ALTER ENDPOINT meg kell határoznia, hogy milyen típusú felhasználói hitelesítés, elküldi a SOAP végpont HTTP kérések. További információért lásd. A szakaszok CREATE végpont (-SQL) és az ALTER végpont (-SQL).
A használati utasításban CREATE ENDPOINT és ALTER ENDPOINT, akkor konfigurálja a Kerberos hitelesítés támogatása a következő módon:
Ha az opció AUTHENTICATION = KERBEROS Kerberos az egyetlen eszköz a HTTP hitelesítést.
Ha az opció AUTHENTICATION = INTEGRÁLT, HTTP hitelesítés a végpont, akkor a következő típusú hitelesítések: NEGOTIATE, a Kerberos és NTLM. Ha az opció tárgyalni, kliens és szerver megpróbálja hitelesíteni a Kerberos protokollt. Ha az ügyfél nem támogatja a Kerberos protokollt vagy a tárgyalások nem lehet hitelesíteni NTLM újra. Ahhoz, hogy az ügyfél nem adja át vissza NTLM tárgyalni, javasolt a paraméter a kliens hitelesítési = KERBEROS végpontot.
Ahhoz, hogy támogassák a kölcsönös Kerberos hitelesítés SQL Server példány kell társítani a Service (SPN) a számla, amelynek nevében hajtják végre, mint például a helyi rendszer számla vagy tartományi felhasználói fiókot. Jellegzetessége a regisztrációs SPN SQL Server példány által meghatározott típusú szolgáltatás fiókot, amely alatt végzik. Ha az SQL Server alatt fut a Helyi rendszer fiók privateers szolgáltatás neve regisztrált neve alatt a számítógépet. Ha az SQL Server alatt fut egy tartományi felhasználói fiókot, SPNs regisztrálni kell az alatt a tartomány felhasználói fiókot.
Társítani a SPN a fiókot, amelynek neve fut egy példánya az SQL Server, a Windows SetSPN.exe támogató eszköz. Ez az eszköz hozzáadja a SPNs a számítógép nevét, amelyen az SQL Server alatt a számla egy Windows tartomány felhasználói fiók tárolt Active Directory. Ebben a forgatókönyvben a SetSPN.exe program adjunk hozzá két név SPN: az egyik a NetBIOS nevet, a másik a teljes SPN.
Például ha fut a program SetSPN.exe SQL Server futó Sajátgép. egy fiókot, amely alatt az SQL Server, majd csatlakozik két SPN hogy hozzá kell adni a katalógusban:
A leggyakoribb problémákat, amelyek a nevek bejegyzését SPN a Kerberos protokollt.
Az SPN nincs regisztrálva.
Ha az SPN nem regisztrált, a Kerberos hitelesítési fog működni a helyi számítógépen fut az SQL Server, de nem kerülnek a távoli ügyfél számítógépek.
SPN regisztrálva többször.
Bizonyos helyzetekben, amikor a rendszergazda ismételje meg a nevét, a szolgáltatás a domain könyvtárában, mely hibát eredményez, amikor a Kerberos hitelesítést. Ezek a jelentések a következő információkat tartalmazzák.
Módosítása a domain fiókot, amely alatt az SQL Server
Ha fut SetSpn.exe program, amikor az SQL Server alatt fut a tartományi fiók (például DOMAIN \ User1), majd módosítsa az SQL Server felhasználói fiók (például DOMAIN \ User2) amikor SetSPN.exe újraindult, ugyanazzal a felhasználónévvel -szolgáltatás kerül beillesztésre a könyvtár mindkét fiókban.
Telepítése több esetben az SQL Server, ami fut a különböző felhasználói fiókok
Ha telepíti több esetben az SQL Server, futtatni mindegyik a különböző felhasználói fiókok és végre SetSpn.exe programot minden esetben ugyanaz SPN neveket kerül beillesztésre a könyvtár minden SQL Server fiókot. Ez vonatkozik azokra az esetekre, e közlekedni, és a tartományi felhasználói fiókjába, és a Helyi rendszer fiókot.
Uninstall és újra az SQL Server alatt egy másik fiókba
Minden ilyen helyzetekben a probléma az, hogy a HTTP-végpont visszavált NTLM hitelesítést, amíg a hibát ki nem javítják. Általában a problémát meg lehet oldani kimutatásával ismétlődő könyvtárban, vagy a régi SPN neveket, és törölje őket manuálisan.