Konfigurieren eines SPN für SQL Server-Standortdatenbankserver

  • Artikel

Letzte Aktualisierung: Januar 2011

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung des Themas – Januar 2008

Das Ausführen des SQL Server-Dienstes unter Verwendung des lokalen Kontos des SQL Server-Computers ist keine bewährte Methode für SQL Server. Den sichersten Betrieb der SQL Server-Standortdatenbankserver erreichen Sie, wenn Sie ein Domänenbenutzerkonto mit geringen Rechten zur Ausführung des SQL Server-Dienstes konfigurieren.

Für das SQL Server-Dienstkonto muss ein Dienstprinzipalname (SPN) registriert werden (wenn nicht das lokale Systemkonto verwendet wird), damit Clients den Dienst mit Kerberos-Authentifizierung identifizieren und authentifizieren können. Mit dem Dienstprogramm SetSPN kann ein SPN für das SQL Server-Dienstkonto auf dem Standortdatenbankserver registriert werden. Das Dienstprogramm SetSPN muss auf einem Computer ausgeführt werden, der sich in der Domäne von SQL Server befindet, und es muss unter Verwendung der Anmeldeinformationen des Domänenadministrators ausgeführt werden. Um einen SPN für das SQL Server-Dienstkonto mit dem Dienstprogramm SetSPN richtig zu konfigurieren, befolgen Sie die Schritte in diesen Prozeduren.

Hinweis

Um das Dienstprogramm SetSPN verwenden oder die ADSIEdit-MMC-Konsole öffnen zu können, müssen Sie zunächst die Microsoft Windows Server-Supporttools installieren. Diese Tools befinden sich im Ordner für Supporttools auf der Windows 2000 Server- und der Windows Server 2003-CD. Um die Windows Server-Supporttools zu installieren, wechseln Sie auf der Installations-CD des Servers in das Verzeichnis \SUPPORT\TOOLS\ und führen die Datei suptools.msi aus.

So erstellen Sie manuell einen Domänenbenutzer-SPN (Service Principle Name, Dienstprinzipalnamens) für das SQL Server-Dienstkonto

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie danach im Dialogfeld Ausführen den Befehl cmd ein.

  2. Wechseln Sie von der Befehlszeile aus in das Installationsverzeichnis für die Windows Server-Supporttools. Standardmäßig befinden sich diese Tools im Verzeichnis „C:\Programme\Supporttools“.

  3. Geben Sie einen gültigen Befehl ein, um den SPN zu erstellen. Der Befehl sollte das folgende Format haben: setspn –A MSSQLSvc/<SQL Server-Computername>:1433 <Domäne\Konto>.

    Hinweis

    Der Befehl zum Registrieren eines SPN für eine benannte SQL Server-Instanz ist die gleiche, die verwendet wird, wenn ein SPN für eine Standardinstanz registriert wird, mit der Ausnahme, dass die Anschlussnummer zu dem von der benannten Instanz verwendeten Anschluss passen muss.

  4. Überprüfen Sie, ob der Befehl erfolgreich ausgeführt wurde, indem Sie die Ausgabe des Befehls für die aktualisierte Objektzeile kontrollieren.

So überprüfen Sie, ob der Domänenbenutzer-SPN bei Verwendung der ADSIEdit-MMC-Konsole richtig registriert wurde

  1. Klicken Sie auf Start und anschließend auf Ausführen, und geben Sie adsiedit.msc ein, um die ADSIEdit-MMC-Konsole zu starten.

  2. Stellen Sie ggf. eine Verbindung mit der Domäne des Standortservers her.

  3. Erweitern Sie im Konsolenbereich die Domäne des Standortservers, erweitern Sie DC=<definierter Name des Servers> und anschließend CN=Benutzer, und klicken Sie mit der rechten Maustaste auf CN=<Dienstkontobenutzer>. Klicken Sie im Kontextmenü auf Eigenschaften.

  4. Überprüfen Sie im Dialogfeld CN=Eigenschaften von <Dienstkontobenutzer> den Wert servicePrincipalName, um sicherzustellen, dass ein gültiger SPN erstellt und mit dem richtigen SQL Server verknüpft wurde.

So ändern Sie das SQL Server-Dienstkonto von einem lokalen Systembenutzerkonto in ein Domänenbenutzerkonto

  1. Erstellen oder wählen Sie ein Domänenbenutzerkonto oder ein lokales Systembenutzerkonto, das dann als SQL Server-Dienstkonto verwendet wird.

  2. Öffnen Sie SQL Server Configuration Manager.

  3. Klicken Sie auf SQL Server 2005 Services, und doppelklicken Sie danach auf SQL Server*<INSTANZENNAME>*.

  4. Wählen Sie Dieses Konto auf der Registerkarte Anmelden aus, und geben Sie den Benutzernamen und das Kennwort für das in Schritt 1 erstellte Domänenbenutzerkonto ein, oder klicken Sie auf Durchsuchen, um das Benutzerkonto in Active Directory zu suchen, und klicken Sie dann auf Übernehmen.

  5. Klicken Sie im Dialogfeld Kontenänderung bestätigen auf Ja, um die Änderung des Dienstkontos zu bestätigen und den SQL Server-Dienst neu zu starten.

  6. Klicken Sie auf OK, nachdem das Dienstkonto erfolgreich geändert wurde.

Siehe auch

Konzepte

Anforderungen an den Dienstprinzipalnamen in Configuration Manager

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com