如何为 SQL Server 站点数据库服务器配置 SPN

为了最安全地运行 SQL Server 站点数据库服务器，应该配置一个低权限的域用户帐户来运行 SQL Server 服务。 必须为 SQL Server 服务帐户（不使用本地系统帐户时）注册服务主体名称 (SPN)，以允许客户端使用 Kerberos 身份验证对服务进行识别和身份验证。可以使用 SetSPN 实用程序注册站点数据库服务器 SQL Server 服务帐户的 SPN。SetSPN 实用程序必须在位于 SQL Server 域中的计算机上运行，而且必须使用域管理员凭据运行。要使用 SetSPN 实用程序正确配置 SQL Server 服务帐户的 SPN，请按照这些过程中的步骤 *** 作。注意 要使用 SetSPN 实用程序或打开 ADSIEdit MMC 控制台，您必须首先安装 Microsoft Windows Server 支持工具。Windows�0�22000 Server 和 Windows�0�2Server�0�22003 CD 上的支持工具文件夹中包括这些工具。要安装 Windows Server 支持工具，请导航到服务器安装 CD 上的 \SUPPORT\TOOLS\，然后运行 suptoolsmsi。手动创建 SQL Server 服务帐户的域用户服务主体名称 (SPN)依次单击“开始”、“运行”，然后在“运行”对话框中输入 cmd。从命令行导航到 Windows Server 支持工具安装目录。默认情况下，这些工具位于 C:\Program Files\Support Tools 目录中。输入有效的命令以创建 SPN。命令形式如下：setspn –A MSSQLSvc/<SQL Server 计算机名称>:1433 <域\帐户>。注意 为SQL Server 命名实例注册 SPN 的命令与注册默认实例的 SPN 时使用的命令相同，只不过端口号应该与命名实例使用的端口匹配。通过查看已更新对象行的命令输出来验证命令是否已成功完成。使用ADSIEdit MMC 控制台验证域用户 SPN 是否已正确注册依次单击“开始”、“运行”，然后输入 adsieditmsc 以启动 ADSIEdit MMC 控制台。如有必要，请连接到站点服务器的域。在控制台窗格中，依次展开站点服务器的域、“DC=<服务器可分辨名称>”和“CN=用户”，然后右键单击“CN=<服务帐户用户>”。在上下文菜单上，单击“属性”。

---