Kerberos 双跃点身份验证 - SQL Server

Posted 2023-02-16

【中文标题】Kerberos 双跃点身份验证 - SQL Server

【英文标题】：Kerberos Double Hop Authentication - SQL Server

【发布时间】：2016-10-11 15:04:14

【问题描述】：

我们三个应用服务器和三个数据库服务器。我们正在尝试在应用程序服务器和数据库服务器之间启用 Kerberos 身份验证。所有应用程序服务器都可以成功连接到三台数据库服务器中的两台。应用服务器使用的是 Windows 2008 和 Windows 2012 以及 IIS 7.0。

数据库服务器使用的是 Windows 2012 和 SQL Server 2008 R2。我们无法弄清楚两个有效的 SQL Server 实例和一个无效的 SQL Server 实例之间有什么不同。一个似乎没有收到令牌，因为它正在报告匿名登录。

【问题讨论】：

双跳从何而来？在一组特定凭据下运行的 IIS 应用程序池通常会连接（使用相同的标识）到 SQL Server。这只是一跳。如果您实际上正在使用某种双跳，那么事情会变得非常复杂，但从您的问题描述来看，听起来您的服务器在验证客户端与域控制器的登录时遇到了问题。说到这个：所有东西都在同一个域中吗？

三个帐户是否都在同一个 Windows 帐户下运行？就此而言，它们是否都在同一个 Windows 域中？运行 SQL Server 的帐户的 SPN 是什么样的？

【参考方案1】：

一切都在同一个域中。我正在使用 Kerberos 以允许 IIS 模拟客户端用户。我们有一个生产应用程序和数据库服务器以及一个测试应用程序和数据库服务器。我们正在尝试设置培训/QA 应用程序和数据库服务器。没有任何应用服务器连接到实时或测试数据库服务器有任何困难。所有这些都无法连接到 QA 数据库服务器。我们正在尝试追踪该服务器上的不同之处。

【讨论】：

要添加更多信息，只需编辑您的问题。不要为此添加答案，因为这不是您原始问题的答案。