我不知道如何为托管服务帐户标识的服务授予 Kerberos 约束委派。
我有一个Windows 2008 R2功能级别单域单林,两个2008 R2 SP1 DC,新建的。
我已在服务器“SQL-01”上安装了新的 SQL Server 2012 实例,以在托管服务帐户“MsaSqlServer”中运行。
到目前为止一切都很好。
托管服务帐户具有属性:cn = MsaSqlServer sAMAccountName = MsaSqlServer $ servicePrincipleName = MSSQLSvc / SQL-01.fasttrac.local,MSSQLSvc / SQL-01.fasttrac.local:1433
我现在在服务器 APP-02(在同一个域中)上有一个 IIS 网站。我可以在 ADUC 中非常轻松地在 Web 服务器 APP-02 的“属性”对话框的“委派”选项卡上设置约束委派,例如,通过单击“添加”,找到文件服务器并选择“cifs”服务类型,即可对文件服务器进行文件访问。但是,我想为 SQL Server 设置委派,因此我单击“添加”,找到 SQL 服务器 SQL-01,但没有 SQL 或 MSSQLSvc 或类似服务。这是正常的,因为 MSSQLSvc SPN 已注册到 SQL Server 运行的帐户,并且只有以本地系统运行的计算机帐户才会显示它。在 SQL 2008 在普通域用户帐户下运行时,我只需输入该域用户名并选择 MSSQLSvc SPN 即可,但是我无法让“选择用户或计算机”框找到我的托管服务帐户(带或不带 $ 后缀)。
我认为我可以通过直接破解 Web 服务器 (APP-02) AD 对象的 msDS-AllowedToDelegateTo 属性并添加“MSSQLSvc/MsaSqlServer”和“MSSQLSvc/MsaSqlServer.domain.local”来获得所需的效果,但我不知道是否要包含培训 $(即“MSSQLSvc/MsaSqlServer$”),而且实际上,我认为 GUI 应该可以工作。有人知道我应该怎么做吗?