Kürzlich erhielt ich eine Anfrage zum Thema Kerberos Authentifizierung über einen DNS CNAME Rekord. Angehängt war ein Screenshot mit den für das Servicekonto registrierten SPN’s (Service Principal Names). Es war ein SPN für den A Record und einer für den CNAME registriert.
Die Kerberos-Authentifizierung war allerdings nur über den A Record nicht aber über den CNAME möglich. In diesem Fall sollte der CNAME durch einen A Record ersetzt werden.
https://msdn.microsoft.com/en-us/library/gg502606.aspx
Um zu überprüfen welches Authentifizierungsprotokoll tatsächlich für eine Verbindung genutzt wird kann folgende SQL Abfrage verwendet werden:
SELECT
s.session_id,
s.login_name,
s.host_name,
c.auth_scheme
FROM
sys.dm_exec_connections c
INNER JOIN
sys.dm_exec_sessions s
on c.session_id = s.session_id
Quelle:
http://msdn.microsoft.com/en-us/library/gg502593.aspx
Zudem stellt Microsoft unter http://www.microsoft.com/en-us/download/details.aspx?id=39046 den Kerberos Configuration Manager für SQL Server zur Verfügung. Dieser hilft be dem ermitteln der benötigten SPN’s.