Home > Articoli > Troubleshooting di SPN Kerberos duplicati

Troubleshooting di SPN Kerberos duplicati

Qualche volta capita in un ambiente Active Directory, che un Service Principal Name (SPN), necessario al corretto funzionamento dell’autenticazione Kerberos, risulti duplicato impedendo di fatto l’uso di Kerberos nei processi di autenticazione di SQL Server, che ricorrerà al "fall back" a NTLM.

Questa anomalia è verificabile oltreché per la presenza di specifici errori di KDC nel solito Event Viewer, anche dal comando SQL:

select session_id,auth_scheme,client_net_address from sys.dm_exec_connections

che mostrerà il tipo di autenticazione in essere per ciascuna sessione; in situazioni di errore, rileveremo perciò solo NTLM come auth_scheme nelle sessioni correnti.

In questo articolo, viene spiegato come potete cercare SPN specifici in Active Directory o anche usando wildcard, usando command line native di Windows Server 2003.

Una volta trovato il o i duplicati (spesso frutto di reinstallazioni, configurazioni errate di service account e cluster), potete eliminarlo e ristabilire l’uso di Kerberos, sempre preferibile per prestazioni e qualità intrinseche del protocollo.

Chi è Davide Mauri

Microsoft Data Platform MVP dal 2007, Davide Mauri si occupa di Data Architecture e Big Data nel mondo dell'IoT. Attualmente ricopre il ruolo di "Director Software Development & Cloud Infrastructure" in Sensoria, societa specializzata nella creazione di Wearables e sensori per l'IoT applicati a tessuti ed oggetti sportivi.

Leggi Anche

Automazione delle attività di manutenzione in Azure SQL Database (2 Parte)

Introduzione Nell’articolo Automazione delle attività di manutenzione in Azure SQL Database abbiamo descritto le attività …