Discussion :

[thoms26]

Bonjour à tous

Je dois déployer une solution de sécurité pour mon entreprise, celle-ci utilise une base de données serveur SQL.

J'ai installé un serveur sql autonome sur un serveur dédié, lors de l'installation j'ai choisi l'instance par défaut. Pour les comptes de service, j'ai créé un compte de domaine dédié dans Active Directory pour exécuter les services du moteur de base de données et pour le mode d'authentification, j'ai choisi "Mode mixte".

À la fin de l'installation, mon compte utilisateur n'étant pas administrateur de domaine, j'ai donc enregistré le SPN pour le compte de service avec les commandes:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
setspn -A MSSQLSvc / myhost.redmond.microsoft.com: 1433 redmond \ accountname
 
setspn -A MSSQLSvc / monhôte.redmond.microsoft.com redmond \ nom_compte

J'ai vérifié dans ADSI le spn est bien enregistré

Je me connecte à SQL Studio sur un poste client et j'exécute la requête SQL

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@ spid;

Dans auth_scheme j'ai NTLM qui apparaît et non Kerberos. J'ai vérifié mon pare-feu (1433 ouvert), dans le gestionnaire de configuration du serveur SQL TCP / IP est activé

Avez-vous une idée ?

Merci à vous

[mikedavem]

Que te donne la commande suivante:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

setspn -L mydomain\sqlservice1

++

[thoms26]

Hello,

la commande me retourne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
setspn -L lab\svc-dsmdb
 
MSSQLSvc/<FQDNdemonserveur>
MSSQLSvc/<FQDNdemonserveur>:1433

En regardant dans les logs sql j'ai 2 erreurs :

The SQL Server Network Interface library could not register the Service Principal Name (SPN) [ MSSQLSvc/<FQDNdemonserveur> ] for the SQL Server service. Windows return code: 0x2098, state: 15. Failure to register a SPN might cause integrated authentication to use NTLM instead of Kerberos. This is an informational message. Further action is only required if Kerberos authentication is required by authentication policies and if the SPN has not been manually registered.

The SQL Server Network Interface library could not register the Service Principal Name (SPN) [ MSSQLSvc/<FQDNdemonserveur>:1433 ] for the SQL Server service. Windows return code: 0x2098, state: 15. Failure to register a SPN might cause integrated authentication to use NTLM instead of Kerberos. This is an informational message. Further action is only required if Kerberos authentication is required by authentication policies and if the SPN has not been manually registered.

Ce que j'ai du mal à comprendre c'est que j'ai bien enregistrer le SPN (manuellement), et à chaque redémarrage des services SQL j'ai ces logs d'erreur

[agdid04]

Bonjour,

Pour quoi le compte de domaine qui manage SQL doit être admin de domaine ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

À la fin de l'installation, mon compte utilisateur n'étant pas administrateur de domaine, j'ai donc enregistré le SPN pour le compte de service ....

Par avance Merci.

A+

[mikedavem]

Hello,

la commande me retourne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
setspn -L lab\svc-dsmdb
 
MSSQLSvc/<FQDNdemonserveur>
MSSQLSvc/<FQDNdemonserveur>:1433

Cela me parait correct du de loin d'autant plus que tu affirmes également que TCPIP est activé dans les protocoles réseaux.
Ce que tu peux faire c'est aussi d'ajouter une entrée pour le nom NETBIOS pour voir.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
-- FQDN
MSSQLSvc/myserver.domain.com
MSSQLSvc/myserver.domain.com:1433
 
-- NETBIOS
MSSQLSvc/myserver
MSSQLSvc/myserver:1433

Vérifie au passage que tes noms soient bien résolvables depuis les clients:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
nslookup myserver.domain.com
nslookup myserver

En ultime recours tu peux aussi de tenter le vidage le cache des tickets Kerberos sur la machine client.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

klist purge

Ce que j'ai du mal à comprendre c'est que j'ai bien enregistrer le SPN (manuellement), et à chaque redémarrage des services SQL j'ai ces logs d'erreur

Ce message est normal si tu utilises un compte de domaine pour le service SQL et si celui-ci n'a pas les droits nécessaires d'enregistrer le SPN au démarrage de l'instance (ce qui est le cas dans la plupart des configurations que j'ai pu voir). Cela ne veut pas dire que le SPN correspond n'existe pas et tu dois le faire à la main comme tu as déjà essayé de le faire.

[thoms26]

Pour enregistrer le SPN automatiquement, le compte utilisé doit être administrateur du domaine.


Bon après plusieurs essais, je suis finalement reparti de 0. Puis j'ai suivi cet article : http://www.alexandreviot.net/2014/09...ipal-name-spn/

Connexion avec SSMS à partir d'un client, j'ai KERBEROS dans auth_scheme

Je te confirme que ça fonctionne maintenant ! Merci pour ta réponse .