Authentification kerberos SQL Server 2019

Bonjour à tous :)

Je dois déployer une solution de sécurité pour mon entreprise, celle-ci utilise une base de données serveur SQL.

J'ai installé un serveur sql autonome sur un serveur dédié, lors de l'installation j'ai choisi l'instance par défaut. Pour les comptes de service, j'ai créé un compte de domaine dédié dans Active Directory pour exécuter les services du moteur de base de données et pour le mode d'authentification, j'ai choisi "Mode mixte".

À la fin de l'installation, mon compte utilisateur n'étant pas administrateur de domaine, j'ai donc enregistré le SPN pour le compte de service avec les commandes:

Code:

---

1 2 3

setspn -A MSSQLSvc / myhost.redmond.microsoft.com: 1433 redmond \ accountname   setspn -A MSSQLSvc / monhôte.redmond.microsoft.com redmond \ nom_compte

---

J'ai vérifié dans ADSI le spn est bien enregistré

Je me connecte à SQL Studio sur un poste client et j'exécute la requête SQL

Code:

---

SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@ spid;

---

Dans auth_scheme j'ai NTLM qui apparaît et non Kerberos. J'ai vérifié mon pare-feu (1433 ouvert), dans le gestionnaire de configuration du serveur SQL TCP / IP est activé

Avez-vous une idée ?

Merci à vous ;)

Que te donne la commande suivante:

Code:

---

setspn -L mydomain\sqlservice1

---

++

Hello,

la commande me retourne :

Code:

---

1 2 3 4

setspn -L lab\svc-dsmdb   MSSQLSvc/<FQDNdemonserveur> MSSQLSvc/<FQDNdemonserveur>:1433

---

En regardant dans les logs sql j'ai 2 erreurs :

Citation:

---

The SQL Server Network Interface library could not register the Service Principal Name (SPN) [ MSSQLSvc/<FQDNdemonserveur> ] for the SQL Server service. Windows return code: 0x2098, state: 15. Failure to register a SPN might cause integrated authentication to use NTLM instead of Kerberos. This is an informational message. Further action is only required if Kerberos authentication is required by authentication policies and if the SPN has not been manually registered.

The SQL Server Network Interface library could not register the Service Principal Name (SPN) [ MSSQLSvc/<FQDNdemonserveur>:1433 ] for the SQL Server service. Windows return code: 0x2098, state: 15. Failure to register a SPN might cause integrated authentication to use NTLM instead of Kerberos. This is an informational message. Further action is only required if Kerberos authentication is required by authentication policies and if the SPN has not been manually registered.

---

Ce que j'ai du mal à comprendre c'est que j'ai bien enregistrer le SPN (manuellement), et à chaque redémarrage des services SQL j'ai ces logs d'erreur :?

Bonjour,

Pour quoi le compte de domaine qui manage SQL doit être admin de domaine ?

Code:

---

À la fin de l'installation, mon compte utilisateur n'étant pas administrateur de domaine, j'ai donc enregistré le SPN pour le compte de service ....

---

Par avance Merci.

A+

Citation:

---

Envoyé par thoms26

Hello,

la commande me retourne :

Code:

---

1 2 3 4

setspn -L lab\svc-dsmdb   MSSQLSvc/<FQDNdemonserveur> MSSQLSvc/<FQDNdemonserveur>:1433

---

---

Cela me parait correct du de loin d'autant plus que tu affirmes également que TCPIP est activé dans les protocoles réseaux.
Ce que tu peux faire c'est aussi d'ajouter une entrée pour le nom NETBIOS pour voir.

Code:

---

1 2 3 4 5 6 7 8

-- FQDN MSSQLSvc/myserver.domain.com MSSQLSvc/myserver.domain.com:1433   -- NETBIOS MSSQLSvc/myserver MSSQLSvc/myserver:1433

---

Vérifie au passage que tes noms soient bien résolvables depuis les clients:

Code:

---

1 2	nslookup myserver.domain.com nslookup myserver

---

En ultime recours tu peux aussi de tenter le vidage le cache des tickets Kerberos sur la machine client.

Code:

---

klist purge

---

Citation:

---

Envoyé par thoms26

Ce que j'ai du mal à comprendre c'est que j'ai bien enregistrer le SPN (manuellement), et à chaque redémarrage des services SQL j'ai ces logs d'erreur :?

---

Ce message est normal si tu utilises un compte de domaine pour le service SQL et si celui-ci n'a pas les droits nécessaires d'enregistrer le SPN au démarrage de l'instance (ce qui est le cas dans la plupart des configurations que j'ai pu voir). Cela ne veut pas dire que le SPN correspond n'existe pas et tu dois le faire à la main comme tu as déjà essayé de le faire.

Citation:

---

Envoyé par agdid04

---

Pour enregistrer le SPN automatiquement, le compte utilisé doit être administrateur du domaine.


Bon après plusieurs essais, je suis finalement reparti de 0. Puis j'ai suivi cet article : http://www.alexandreviot.net/2014/09...ipal-name-spn/

Connexion avec SSMS à partir d'un client, j'ai KERBEROS dans auth_scheme :D

Citation:

---

Envoyé par mikedavem

---

Je te confirme que ça fonctionne maintenant ! Merci pour ta réponse :).