标签: spn

我发现有关如何准确格式化 SPN（服务原则名称）以获得正确的 Kerberos 连接以及每个 SQL 实例需要多少个的矛盾信息。

此 2017 年 MS 文档包含以下内容：

从 SQL Server 2008 开始，SPN 格式已更改，以支持 TCP/IP、命名管道和共享内存上的 Kerberos 身份验证。命名实例和默认实例支持的 SPN 格式如下。

• 命名实例： MSSQLSvc/FQDN:[port|instancename]
• 默认实例： MSSQLSvc/FQDN:port|MSSQLSvc/FQDN

新的 SPN 格式不需要端口号。这意味着多端口服务器或不使用端口号的协议可以使用 Kerberos 身份验证。

我认为最后一段的意思是我只需要一个条目，以下之一：

• 命名实例： MSSQLSvc/sqlbox1.mydomain.org/instance2
• 默认实例： MSSQLSvc/sqlbox1.mydomain.org

这似乎与这个较旧的 (2011) MS 文档相矛盾，不仅是关于端口号，还关于使用什么名称：

要创建 SPN，您可以使用 SQL Server 的 NetBIOS 名称或完全限定域名 (FQDN)。但是，您必须为 NetBIOS 名称和 FQDN 创建一个 SPN。

当我查看环境中已经存在的 SPN 时，我看到了各种各样的组合，有些服务器最多有 4 个条目：

• MSSQLSvc/sqlbox1
• MSSQLSvc/sqlbox1:1433
• MSSQLSvc/sqlbox1.mydomain.org
• MSSQLSvc/sqlbox1.mydomain.org:1433

甚至MS 自己的 Kerberos 配置管理器似乎也想生成最后两个版本（使用适当的混淆处理）：

同样，对于现有的命名实例，我看到了一个奇怪的组合，其中一些几乎肯定是无效的：

• MSSQLSvc/sqlbox1:1522
• MSSQLSvc/sqlbox1:instance2
• MSSQLSvc/sqlbox1.mydomain.org:1522
• MSSQLSvc/sqlbox1.mydomain.org:instance2
• MSSQLSvc/sqlbox1.mydomain.org/instance2 …

我有一个关于如何手动设置 SPN 以在 SQL 集群上使用 Kerberos 身份验证的问题。

我是在集群名称上设置一个 SPN 还是在每个节点上设置一个？

我还有一个默认的命名实例，我是否指定实例的名称？