일부 문서에 따르면 데이터베이스 엔진이 시작될 때 SQL Server의 서비스 계정이 SPN을 생성하여 Kerberos 인증을 허용합니다. 계정이 SPN을 생성하는 데 필요한 권한을 나타내는 문서를 찾을 수 없습니다. 그렇다면 SPN을 만들려면 계정에 어떤 권한이 있어야합니까 (가능한 경우 도메인 관리자 제외)?
일부 문서에 따르면 데이터베이스 엔진이 시작될 때 SQL Server의 서비스 계정이 SPN을 생성하여 Kerberos 인증을 허용합니다. 계정이 SPN을 생성하는 데 필요한 권한을 나타내는 문서를 찾을 수 없습니다. 그렇다면 SPN을 만들려면 계정에 어떤 권한이 있어야합니까 (가능한 경우 도메인 관리자 제외)?
답변:
이 MSDN 기사와 @ Handyman5의 설명에 따라 "SPN 수정 권한 위임"섹션에 설명되어 있습니다.
위임 된 관리자가 SPN (서비스 사용자 이름)을 구성하도록 허용해야하는 경우 해당 사용자 계정에 유효한 서비스 원칙 이름 쓰기 권한 이 있는지 확인해야합니다 .
유효한 쓰기 서비스 원칙 이름 을 위임하려면 권한이 Domain Admins의 구성원이거나 이와 동등한 자격이 있어야합니다.
그래서 나는 최근에 이것을하는 방법을 알아 냈습니다. SPNS 쓰기 권한 위임 에 대한 MSDN 문서 의 단계를 따르십시오 .
그러나 MSDN 기사에 언급되어 있고 서비스 사용자 이름 쓰기 인 Validated Service Principal Names에 대한 쓰기 권한 이외의 계정에 대한 권한을 하나 더 추가해야합니다 .
이 문서에 검증 된 Write to Service Principal Names (컴퓨터 개체 등에 적용) 에 대한 도움말과 동일한 방식으로이 권한을 추가해야합니다 .
이 권한을 추가하면 모든 권한, 도메인 관리자 또는 모든 속성을 작성하지 않고도 SPN 속성에 쓸 수 있습니다.
서비스 주체 이름에 유효한 쓰기 권한 만 추가하면 SPN을 만들려고 시도 할 때 액세스가 거부되지 않고 다음 오류가 발생합니다.
LDAPName 계정에 SPN을 할당하지 못했습니다. 오류 0x200b / 8203-> 디렉토리 서비스에 지정된 속성 구문이 잘못되었습니다.