Discussion :

[VITALTH]

Bonjour,
J'ai un serveur SQL pour lequel je souhaite activer la délégation de contrainte pour le service MSSQLSvc pour le compte qui lance le service qui est un compte de domaine.

Pour se faire admettons que mon serveur s'appelle srv1 et mon domaine dmn et mon compte svc-sql.

J'ai tapé la commande :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
SetSPN -S mssqlsvc\srv1 dmn\svc-sql
SetSPN -S mssqlsvc\srv1.dmn.fr dmn\svc-sql
SetSPN -S mssqlsvc\srv1.dmn.fr:1433 dmn\svc-sql

Lorsque je regarde avec SetSPN -l dmn\svc-sql j'ai bien les 3 lignes :
mssqlsvc\srv1 dmn\svc-sql
mssqlsvc\srv1.dmn.fr dmn\svc-sql
mssqlsvc\srv1.dmn.fr:1433 dmn\svc-sql

Lorsqu'ensuite je vais dans l'AD onglet délégation et j'active la délégation uniquement pour les services suivant, j'ajoute mon serveur srv1, le service MSSQLSvc n'apparait pas.

Du coup je me dis que j'ai oublié de paramétré qqch ou une autre erreur du type
Est ce que SetSPN est sensible à la casse (et donc mssqlsvc n'est pas MSSQLSvc)
Est ce que le fait que j'ai 3 machines identiques avec nom simple, nom complet et nom complet avec port pourrait causer des pb.

Je vous remercie de m'aiguiller.

[mikedavem]

Hello,

La configuration des tes spn n'est pas correcte si tu l'as effectué tel quel. Le service ne doit pas comporter de \ mais un /.

Il faut mettre à la place ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
SetSPN -S mssqlsvc/srv1 dmn\svc-sql
SetSPN -S mssqlsvc/srv1.dmn.fr dmn\svc-sql

Si l'instance concernée écoute sur le port 1433, tu peux omettre le port d'écoute dans la chaîne SPN car il prendra le port d'écoute 1433 par défaut.

++

[VITALTH]

Oups : je viens de comprendre que j'ai fait une petite faute de frappe (et même deux) quand j'ai écrit ce poste.
Je confirme que j'ai bien paramétré mais SPN avec le / (slash) et non l'anti slash (\) entre le service et l'hôte. Donc sur ce point pas de problème.

En revanche j'ai fait une installation de sql server standard : donc je pense que le port est bien 1433 mais je vais vérifier au cas où ce n'est pas le cas.

Petite indication qui peut aider :
en tapant la requête

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@spid ;

le résultat me renvoit NTLM et non KERBEROS.

[VITALTH]

Apparremment quand je regarde le nom du service après avoir cherché qu'est ce qui lance le port 1433 je m'attendais à trouver MSSQLSvc parce que naïvement dans ma tête la commande SetSPN était :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
SetSPN -S Service/Hote.domaine domaine\Compte

Or je trouve comme nom de service :
sqlservr.exe

D'où ma question est ce que :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
SetSPN -S sqlservr/dmn.serv1.fr dmn\svc-sql

N'est pas plus approprié dans mon cas de figure ?

[mikedavem]

N'est pas plus approprié dans mon cas de figure ?

Non car le nom du service SQL pour Kerberos est bien MSSQLSvc. Il faut effectivement bien vérifier si le port d'écoute est bien le 1433 ou si tu utilises une instance nommée car dans ce cas la configuration du SPN ne sera pas la même.

Si je reprends ce que tu as dit dans ton premier post :

Lorsqu'ensuite je vais dans l'AD onglet délégation et j'active la délégation uniquement pour les services suivant, j'ajoute mon serveur srv1, le service MSSQLSvc n'apparait pas.

Est-ce que tu essais d'activer la délégation pour le serveur SQL ? Si j'ai bien compris ce que tu as dit srv1 correspond au serveur de bases de données.

++

[VITALTH]

Merci pour ta réponse.
Pour répondre à ta question : effectivement lorsque je souhaite activer la délégation je choisi l'ordinateur srv1 et le service MSSQLSvc mais malheureusement il n'apparait pas.
Quand tu parles d'instance nommée tu parles d'instance de Server ?
Du type srv1\instance1 par exemple ??
Si oui, je te confirme que je n'en utilise pas.
De plus le service écoute bien le port 1433.

[mikedavem]

Quand tu parles d'instance nommée tu parles d'instance de Server ?
Du type srv1\instance1 par exemple ??
Si oui, je te confirme que je n'en utilise pas.
De plus le service écoute bien le port 1433.

Oui c'est cela donc en principe le SPN est ok.

Maintenant pour la délégation ce n'est pas pour le serveur SQL qu'il faut activer pour la délégation mais le serveur applicatif (je suppose ici que tu vas utiliser un serveur applicatif).

Tu auras quelque chose du genre

Client --> serveur applicatif --> serveur sql

C'est le serveur applicatif qui doit être autorisé pour la délégation du jeton kerberos du client. Il faut donc également configurer un SPN pour ce serveur et activer la délégation dans l'AD pour le service MSSQLSvc

++

[VITALTH]

Je pense qu'on ne s'est pas compris :
Dans mon exemple srv1 est bien le serveur applicatif. Pour simplifier : le nom de mon serveur sql est le même que celui de mon serveur applicatif.
De toute façon s'ils avaient des noms différents je suppose que dans l'AD je ne retrouverais pas mon serveur sql puisque ce n'est pas un ordinateur.

Moi en ce qui me concerne : dans l'AD lorsque je recherche srv1 je le retrouve bien et il y a différents services disponible. Le problème est que dans les services disponibles MSSQLSvc n'apparait pas...

Autre précision mais je ne pense pas que ce soit important srv1 est un serveur virtuel.

[mikedavem]

Dans mon exemple srv1 est bien le serveur applicatif. Pour simplifier : le nom de mon serveur sql est le même que celui de mon serveur applicatif.

Ok c'est plus clair

En principe si ton serveur applicatif est sur le même que ton serveur SQL tu n'as pas besoin d'activer la délégation Kerberos car ton serveur applicatif n'a pas besoin de déléger le jeton dans ce cas (même serveur). Le paramétrage du SPN pour le compte de service SQL Server est suffisant.

Est-ce que tu as vérifié que toutes tes connexions restent en NTLM ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT auth_scheme FROM sys.dm_exec_connections

[VITALTH]

Pour info toutes mes connexions sont en NTLM.

Il y a peut être une chose que j'ai omis de dire :
en fait j'ai un serveur srv1 contenant mon serveur sql et un serveur srv2 contenant des rapports dont les sources de données sont sur le serveur sql.

Si j'ai besoin d'activer la délégation et de faire passer des tickets avec le protocole KERBEROS c'est que parce que je suis en authentification Windows sur mes rapports.

Les deux serveurs (srv1 et srv2) sont sur le même domaine (même domaine que le compte également.

Par contre si je comprends ce que tu veux dire : mon serveur applicatif serait srv2 et donc il faut que j'active la délégation de contrainte sur le serveur srv2 pour le service MSSQLSvc ?

Est ce bien ça ?

Mais si c'est le cas ma commande SetSPN elle est la suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
SetSPN -S MSSQLSvc/srv1.dmn.fr dmn\svc-sql

ou

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
SetSPN -S MSSQLSvc/srv2.dmn.fr dmn\svc-sql

?

[mikedavem]

La commande correcte est la suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SetSPN -S MSSQLSvc/srv1.dmn.fr dmn\svc-sql

Le SPN identifie toujours le service cible à atteindre. Donc si ton serveur SQL est sur le serveur srv1 alors il faut configurer le SPN comme ci-dessus.

Si tu as 2 serveurs comme tu le précises cela revient donc à :

client --> srv2 (serveur de rapports) --> srv1 (serveur sql)

Je suppose que ton serveur de rapports est un serveur SSRS ? Si oui as-tu également configuré le SPN pour ce service ?

++

[VITALTH]

Je vais essayer la délégation de contrainte sur srv2 mais j'avoue que je ne comprends pas pourquoi car le service MSSQLSvc pourrait ne pas être installé sur srv2;

Sinon ou c'est SSRS et j'ai créé mon SPN de la façon suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
SetSPN -S http/srv2.dmn.fr dmn\svc-sql

Tout en sachant que j'utilise le même compte de domaine de service pour
- le moteur SQL sur srv1
- Report service sur srv2

Puis j'ai activé la délégation de contrainte pour le serveur srv2 pour le service http.

[mikedavem]

Si je comprends bien ton architecture (je précise) on revient au schéma que j'ai effectué plus haut.

client --> srv2 (SSRS) --> srv1 (SQL)

Après pour la délégation 2 choses à effectuer :

- Autoriser la délégation pour le serveur srv2
- Configurer la délégation du compte de domaine svc-sql vers le service MSSQLSvc ..

++

[VITALTH]

Oui tu as compris l'architecture.
Et donc pour revenir plus haut : pour la délégation du compte de domaine : je ne trouve pas dans l'AD le service MSSQLSvc parmis les services "déléguable" sur le serveur srv1

[mikedavem]

Et donc pour revenir plus haut : pour la délégation du compte de domaine : je ne trouve pas dans l'AD le service MSSQLSvc parmis les services "déléguable" sur le serveur srv1

Que te donne un setspn -L sur ce compte ?

Tu vas donc bien sur le service svc-sql > clic droit > propriétés > onglet délégation > Délégation contrainte > choix du service ?

Ton compte de service n'a pas l'option activé Account is sensitive and cannot be delegated ?

Bizarre que tu ne vois pas ton service ...

++

[VITALTH]

Le setspn -l dmn\svc-sql me donne :

MSSQLSvc/srv1.dmn.fr
http/srv2
http/srv2.dmn.fr

Je fais bien sur le service svc-sql > clic droit > propriétés > onglet délégation > Délégation contrainte
Par contre pour le choix du service je choisis l'ordinateur srv1 puis le service MSSQLSvc.

Et j'ai bien désactivé la case à cocher "ce compte est sensible et ne peut être délégué".

Sinon je pense que dans la liste des services possible pour le choix des services je n'en aurais aucun.

[VITALTH]

Evidemment après le choix de l'ordi srv1 je ne retrouve pas le service MSSQLSvc dans la liste des services dispo.

[mikedavem]

Il ne faut pas que tu choisisses l'ordinateur mais une nouvelle fois le compte de service sur lequel tu as paramétré tes SPN

++

[VITALTH]

Effectivement en choisissant le compte dmn\svc-sql pour le choix des services http et MSSQLSvc je retrouve bien mes deux services.

J'ai fait donc comme tu me l'as suggéré et je t'en remercie.
En revanche je n'obtiens pas le résultat escompté puisque j'ai une erreur de type :
AUTORITE NT\ANONYMOUS LOGON au niveau de l'affichage de mon rapport avec l'url https://srv2.dmn.fr/reportserver

J'ai téléchargé l'utilitaire WireShark sur srv2 et en filtrant sur Kerberos : j'obtient l'erreur (que j'avais avant la délégation de contrainte) : KRB5_ERR_BADOPTION NT Statut: STATUS_NO_MATCH.
Dans l'arborescence des nœuds e-data PA-PW_SALT/Type : PA-PW-SALT/Value/NT Status : STATUS_NO_MATCH (0xc0000272).

[mikedavem]

Ok je pense qu'il te manque encore quelques paramètres de configuration.

Visiblement la délégation n'arrive pas à se faire depuis le serveur SSRS je pense .. je n'ai pas tout le détail des logs là.

Si on résume ce qui doit être fait :

- le spn pour le serveur SQL (compte de service sql)
- le spn pour le serveur SSRS (compte de service ssrs)
- autoriser la délégation pour le compte de service ssrs vers MSSQLSvc/xxx
- autoriser la délégation pour le serveur qui héberge ssrs dans l'AD
- Vérifier que le mode d'authentification SSRS est bien configuré pour Kerberors dans la section authentication du fichier RSReportServer.config file

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<Authentication>
<AuthenticationTypes>
          <RSWindowsNegotiate/>
</AuthenticationTypes>
<EnableAuthPersistence>true</EnableAuthPersistence>
</Authentication>

- Vérifier que internet explorer utilise bien Kerberos

Tu peux également lancer la commande KLIST purge pour vider le cache qui héberge les tickets Kerberos avant de refaire un test mais je me suis aperçu que cela ne fonctionnait pas toujours.

++