Qualche volta capita in un ambiente Active Directory, che un Service Principal Name (SPN), necessario al corretto funzionamento dell’autenticazione Kerberos, risulti duplicato impedendo di fatto l’uso di Kerberos nei processi di autenticazione di SQL Server, che ricorrerà al "fall back" a NTLM.
Questa anomalia è verificabile oltreché per la presenza di specifici errori di KDC nel solito Event Viewer, anche dal comando SQL:
select session_id,auth_scheme,client_net_address from sys.dm_exec_connections
che mostrerà il tipo di autenticazione in essere per ciascuna sessione; in situazioni di errore, rileveremo perciò solo NTLM come auth_scheme nelle sessioni correnti.
In questo articolo, viene spiegato come potete cercare SPN specifici in Active Directory o anche usando wildcard, usando command line native di Windows Server 2003.
Una volta trovato il o i duplicati (spesso frutto di reinstallazioni, configurazioni errate di service account e cluster), potete eliminarlo e ristabilire l’uso di Kerberos, sempre preferibile per prestazioni e qualità intrinseche del protocollo.