Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Linked-сервер и Kerberos Double Hop  [new]
AngryError
Member

Откуда:
Сообщений: 51
Всем привет!

Проблема с Double hop Кербероса, когда он не может авторизовать пользователя на "вложенном" сервере.

Дано:
Сервер SERVER1 в домене DOMAIN1
Сервер SERVER2 в домене DOMAIN1
Рабочая машина DESKTOP1 в домене DOMAIN2
На сервере SERVER1 создан Linked на SERVER2
Между доменами никаких трастов не настроено, но днс реплицируется, т.е. я вижу имена серверов и т.д.
На машине DESKTOP1 в Windows Credential Manager прописаны учетные данные к SERVER1 и SERVER2.
Я могу подключится к обоим машинам без проблем, используя Windows-аутентификацию из Credential Manager.

Проблема:
Если я подключусь по RDP на SERVER1 и открою Linked-сервер - всё откроется без проблем.
Если я локально на DESKTOP1 открою SSMS, подключусь к SERVER1 и попытаюсь на нем открыть Linked-сервер SERVER2 - будет облом.
Ошибка Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'.

Что сделано:
Зарегистрированы все нужные SPN в DOMAIN1
Для учетки SQL выданы все права на делегирование в DOMAIN1
Для компьютеров SERVER1 и SERVER2 также выданы фулл права на делегирование в DOMAIN1
Локально на SERVER1 и SERVER2 KerberosConfigMgr не выдает каких-либо проблем.
Выдано право PrincipalsAllowedToDelegateToAccount с SERVER1 на SERVER2

Вопрос:
Вообще, реально настроить двойной прыжок в нашей конфигурации?
Или для этого обязательно находится в доверенном/дочернем домене?

При коннекте со своей локальной машины до SERVER1, я ввожу запрос
select auth_scheme from sys.dm_exec_connections where session_id=@@spid
и он возвращает NTLM.

Сообщение было отредактировано: 30 апр 21, 17:14
30 апр 21, 17:21    [22317017]     Ответить | Цитировать Сообщить модератору
 Re: Linked-сервер и Kerberos Double Hop  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 8587
AngryError,

а у вас в домене kerberos настроен?
30 апр 21, 17:47    [22317030]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить