Назад | Перейти на главную страницу

Предоставление ограниченного делегирования Kerberos SQL Server 2012, работающему как управляемая учетная запись службы

Я не вижу, как предоставить ограниченное делегирование Kerberos для службы, определенной управляемой учетной записью службы.

У меня есть однодоменный одиночный лес с функциональным уровнем Windows 2008 R2, два новых контроллера домена 2008 R2 SP1.

Я установил свой новый экземпляр SQL Server 2012 на сервере «SQL-01» для работы в управляемой учетной записи службы «MsaSqlServer».

Пока все хорошо.

У учетной записи управляемой службы есть атрибуты: cn = MsaSqlServer sAMAccountName = MsaSqlServer $ servicePrincipleName = MSSQLSvc / SQL-01.fasttrac.local, MSSQLSvc / SQL-01.fasttrac.local: 1433

Теперь у меня есть веб-сайт IIS на сервере APP-02 (в том же домене). Я могу легко настроить ограниченное делегирование в ADUC на вкладке Delegation диалогового окна Properties для веб-сервера, APP-02, например, доступ к файлу на файловый сервер, нажав кнопку «Добавить», найдя файловый сервер и выбрав тип службы «cifs». Однако я хочу иметь делегирование для SQL Server, поэтому я нажимаю «Добавить», нахожу SQL-сервер, SQL-01, и нет SQL, MSSQLSvc или аналогичной службы. Это нормально, потому что имя участника-службы MSSQLSvc зарегистрировано для учетной записи, под которой работает SQL Server, и будет отображаться в учетной записи компьютера только в том случае, если он работает как локальная система. Когда SQL 2008 работает под обычной учетной записью пользователя домена, я просто ввожу это имя пользователя домена и выбираю MSSQLSvc SPN, и все готово, однако я не могу получить поле «Выбор пользователей или компьютеров», чтобы найти свою учетную запись управляемой службы (с или без суффикса $).

Я думаю, что могу получить требуемый эффект, взломав атрибут msDS-AllowedToDelegateTo объекта AD веб-сервера (APP-02) напрямую и добавив «MSSQLSvc / MsaSqlServer» и «MSSQLSvc / MsaSqlServer.domain.local», но я не знаю, нужно ли включать обучение $ (т.е. "MSSQLSvc / MsaSqlServer $"), и действительно, я думал, что графический интерфейс должен работать. Кто-нибудь знает, что мне делать?