Capet
Lieutenant
- Registriert
- Feb. 2005
- Beiträge
- 994
Hallo,
folgende Testumgebung ist vorhanden:
Auf docs.microsoft.com - Linked Servers (Database Engine) heißt es:
Auf docs.microsoft.com - Configuring Linked Servers for Delegation sind die Voraussetzungen aufgeführt:
Irgendetwas übersehe ich bei der Einrichtung. Ich habe für beide Computerobjekte testweise im AD die Option "Trust this computer for delegation to any serivce (Kerberos only)" aktiviert, jedoch ändert dies nichts am Ergebnis.
Irgendetwas übersehe ich bei der Einrichtung. Hat jemand eine Idee?
folgende Testumgebung ist vorhanden:
- Eine Windows-Domäne (testdom) mit einem Domain Controller (Windows Server 2019)
- zwei SQL Server 2017, "SQL1" und "SQL2" (beide stand-alone, CU20, Windows Server 2019)
- Auf den SQL-Servern ist "Windows Authentication" aktiv
- Auf beiden SQL-Servern läuft der SQL-Server-Dienst unter dem gleichen Domänen-User ("testdom\sqlservice")
- Auf beiden SQL-Servern ist ein identisches Windows-Login ("testdom\SQLAdmin") eingerichtet, welches die Serverrolle "sysadmin" hat
Auf docs.microsoft.com - Linked Servers (Database Engine) heißt es:
Linked servers support Active Directory pass-through authentication when using full delegation. Starting with SQL Server 2017 CU17, pass-through authentication with constrained delegation is also supported; however, resource-based constrained delegation is not supported.
Auf docs.microsoft.com - Configuring Linked Servers for Delegation sind die Voraussetzungen aufgeführt:
- The Windows authenticated login of the user must have access permissions to SQLSERVER1 and SQLSERVER2 (hier SQL und SQL2. => ist gegeben, "testdom\SQLAdmin" kann sich auf beiden Servern anmelden
- The user Active Directory property, "Account is sensitive and cannot be delegated", must not be selected. => ist für "testdom\SQLAdmin" gegeben
- The server must have an SPN registered by the domain administrator. => ist für beide SQL-Server gegeben
-
Code:
setspn -l SQL1 Registered ServicePrincipalNames for CN=SQL1,OU=SQLServer,DC=testdom,DC=de: WSMAN/SQL1 WSMAN/SQL1.testdom.de RestrictedKrbHost/SQL1 HOST/SQL1 RestrictedKrbHost/SQL1.testdom.de HOST/SQL1.testdom.de setspn -l SQL2 Registered ServicePrincipalNames for CN=SQL2,OU=SQLServer,DC=testdom,DC=de: WSMAN/SQL2 WSMAN/SQL2.testdom.de RestrictedKrbHost/SQL2 HOST/SQL2 RestrictedKrbHost/SQL2.testdom.de HOST/SQL2.testdom.de
- The account under which SQL Server is running must be trusted for delegation. => Der User "testdom\sqlservice" wurde in der Domain Controllers Policy der Policy "Enable computer and user accounts to be trusted for delegation" zugeordnet, ist also gegeben
- The server must be using TCP/IP or named pipes network connectivity. => ist für beide SQL-Server gegeben (TCP/IP)
Irgendetwas übersehe ich bei der Einrichtung. Ich habe für beide Computerobjekte testweise im AD die Option "Trust this computer for delegation to any serivce (Kerberos only)" aktiviert, jedoch ändert dies nichts am Ergebnis.
Irgendetwas übersehe ich bei der Einrichtung. Hat jemand eine Idee?