SetSPN無法找到帳戶

Question

我在Windows Server 2012 R2（也是AD DC）上安裝了SQL Server 2014。當我嘗試使用SQL Server Management Studio中（SSMS）從同一本地域中的客戶端桌面連接到它，我得到這個錯誤信息：

The target principal name is incorrect. Cannot generate SSPI context. (Microsoft SQL Server) 

所以就同一問題下面的其他職位，我下載的Kerberos SQL服務器上的配置管理器發現2個錯位的SPN。是由Kerberos配置管理器提出的SPN腳本命令如下：

SetSPN -d "MSSQLSvc/SERVERNAME.internal.domain.com" "internal\SERVERNAME$" 
SetSPN -s "MSSQLSvc/SERVERNAME.internal.domain.com" "DOMAIN\SERVERNAME$" 

但是，當我試圖在服務器上運行在cmd中的第一個命令（下稱「的SetSPN -D」之一），我得到這個錯誤：

FindDomainForAccount: Call to DsGetDcNameWithAccountW failed with return value 0x0000054B 
Unable to locate account SERVERNAME$ 

我不知道如何從這裏前進。谷歌搜索沒有找到正確的答案。請幫忙。問題是：

1）錯位SPN是罪魁禍首嗎？如果是這樣，如何糾正？

2）如果不是，我如何使用Windows身份驗證從同一本地域上的客戶端桌面連接到SQL Server？

Answer 1

按我最新的留言@ T鷺的回答， internal\SERVERNAME$帳戶確實存在而不是。它應該是internal.domain.com\SERVERNAME$，與DOMAIN\SERVERNAME$的帳戶相同，其中DOMAIN是internal.domain.com的Windows 2000以前的名稱。

其結果是，該錯位的 SPN所確定的Kerberos配置管理器不是初始錯誤消息的根本原因：The target principal name is incorrect. Cannot generate SSPI context. (Microsoft SQL Server)

到初始問題的解決方案從this post，其中執行若干步驟來在客戶端和服務器端解決問題。

Answer 2

確保您從加入Active Directory域的計算機運行腳本，並且計算機的DNS正確解析爲AD。要查找SERVERNAME $，計算機需要詢問DNS查詢Active Directory域控制器的位置。 SPN腳本也是錯誤的。

1. 擺脫引號，在這種情況下不需要它們，特別是在沒有嵌入空格的情況下。

2. 確保您是登錄到內部域爲了運行第一個命令。第二條命令在登錄時運行DOMAIN。

   我想建議的腳本：

SetSPN -d "MSSQLSvc/SERVERNAME.internal.domain.com" "internal\SERVERNAME$" 
SetSPN -s "MSSQLSvc/SERVERNAME.internal.domain.com" "DOMAIN\SERVERNAME$" 

應該是這個：

SetSPN -d MSSQLSvc/SERVERNAME.internal.domain.com internal\SERVERNAME$ 
SetSPN -s MSSQLSvc/SERVERNAME.internal.domain.com DOMAIN\SERVERNAME$ 

我只是測試在我的環境中的第二行和它的工作。我不需要混淆我的測試環境，因此它實際上是以下幾點：

SetSPN -s MSSQLSvc/dc1.dev.local DEV\dc1$ 

...和結果：

Checking domain DC=dev,DC=local 

    Registering ServicePrincipalNames for CN=DC1,OU=Domain Controllers,DC=dev,DC=local 
      MSSQLSvc/dc1.dev.local 
    Updated object 

    C:\>