coreknabe
14.10.2022, aktualisiert um 12:49:06 Uhr
view4067
view1
0
Goto Top

MS SQL SPN - Welche Rechte?

FrageMicrosoftDatenbanken
Moin,

ich habe für unseren neuen SQL-Server den User sql-admin angelegt, unter dem der SQL-Dienst laufen soll. Nachdem ich nun mit Veeam den DB-Restore getestet habe, bekomme ich eine Fehlermeldung:

Der Prinzipalname des Ziels ist nicht korrekt. Der SSPI-Kontext kann nicht generiert werden.

Laut Veeam wird diese Fehlermeldung durch Windows generiert. Mal etwas gegoogelt, ich sollte mir SQLCheck herunterladen und meine Installation einmal prüfen:
https://github.com/microsoft/CSS_SQL_Networking_Tools/wiki

SQLCheck laufen lassen, aufschlussreich dies hier:
Service Account:            sql-admin@domaene.de
SPN Account:                sql-admin@domaene.de

    Suggested SPN                             Exists  Status
    ----------------------------------------  ------  -----------------------------------------------------------------------------------------------
    MSSQLSvc/SQL.domaene.de:1433  False   SPN is on the wrong account: sql-admin, CN=sql-admin,OU=Benutzer,OU=IT,DC=domaene,DC=de
    MSSQLSvc/SQL:1433             False   SPN does not exist.
    MSSQLSvc/SQL.domaene.de       False   SPN is on the wrong account: sql-admin, CN=sql-admin,OU=Benutzer,OU=IT,DC=domaene,DC=de
    MSSQLSvc/SQL                  False   SPN does not exist.

Gegenprobe:
setspn -l sql-admin
Registrierte Dienstprinzipalnamen (SPN) für CN=sql-admin,OU=Benutzer,OU=IT,DC=domaene,DC=de:
        MSSQLSvc/SQL.domaene.de:1433
        MSSQLSvc/SQL.domaene.de

Trage ich den Domänenadmin für den SQL-Dienst ein, funktioniert alles, SQLCheck wirft keine Fehler aus. Was mich vermuten lässt, dass für meinen Benutzer sql-admin Berechtigungen fehlen. Welche sind das?

Viele Grüße
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 4280533715

Url: https://administrator.de/forum/ms-sql-spn-welche-rechte-4280533715.html

Ausgedruckt am: 01.04.2025 um 22:04 Uhr

1 Kommentar
Goto Top
jsysde
jsysde 14.10.2022 um 09:35:21 Uhr
Goto Top
Moin.

Frage: Warum nutzt du keinen gMSA für den SQL-Service? Oder ist dein "sql-admin" ein gMSA?

Zum SPN: Der sollte eigentlich auf den Hostnamen des Servers registriert sein, nicht auf den User.
https://sqlmastersconsulting.com.au/SQL-Server-Blog/granting-sql-service ...
https://learn.microsoft.com/en-us/sql/relational-databases/native-client ...

Cheers,
jsysde
FrageMicrosoftDatenbanken
Mehr von CoreknabeCoreknabeFujitsu Eternus - AD Anbindung schlägt fehlCoreknabe - 6 KommentareCoreknabeFirmware - Treiber Overland NeoCoreknabe - 5 KommentareCoreknabeExchange 2019 Software AssuranceCoreknabe - 12 KommentareCoreknabeFujitsu Primergy ServerView AgentsCoreknabe - 1 Kommentar
Heiß diskutiert
r2d2r3poNetzwerk Ausfäller2d2r3po - 46 KommentareTschakalakaNetzwerkscan - Suche nach inkompatiblen Windows 10 Clients für Windows 11 UpgradeTschakalaka - 41 Kommentareratzekahl1Batch-Datei mit Admin-Rechten ausführen ohne das Passwort raus zu gebenratzekahl1 - 41 KommentarepanguuRouter gesucht (Mikrotik, OPNsense)panguu - 33 KommentareTenniscrackTablet sagt: Nicht genügend SpeicherplatzTenniscrack - 31 KommentarejimmmySFP-Ports adaptieren?jimmmy - 30 KommentareaxlemoxleDeutsche Telefon, 3cx, Wildix, Yeastar Easybell, Peoplefone, was ist das richtigeaxlemoxle - 25 KommentarekreuzbergerUbuntu 24 Desktop 64Bit Installation bleibt stehenkreuzberger - 23 Kommentarefatih.yaylaSBLenovo Notebook friert immer wieder einfatih.yaylaSB - 19 KommentarekpunktWelche Applikation will nach 199.59.243.228?kpunkt - 19 KommentarekpunktMicrosoft entfernt BypassNRO.cmdkpunkt - 19 KommentaremaddocPlötzlich keinen Sound mehr, neue Soundkarte keine Besserungmaddoc - 17 Kommentaretouro411PFsense Outbound NAT (S-NAT)touro411 - 16 Kommentare