設置SPN以從IIS7以原始用戶身份訪問SQL Server 2008

Question

我對SPN和我需要做的事情完全感到困惑。 基本上，我有一個在域EUR上運行的Web服務器，並且我希望在用戶查看網頁時使用Windows身份驗證和模擬訪問不同的MSSQL服務器。

我已將Web服務器設置為使用Windows身份驗證和模擬，並且可以與Web服務器上的本地MSSQL實例正常工作，但不能與EUR域上的任何其他MSSQL實例正常工作。 我收到一條錯誤消息： Logon failed for NT AUTHORITY\\ANONYMOUS user.

IIS和MSSQL服務當前正在所有服務器上的系統帳戶下運行，但是我確實具有功能ID“ EUR \\ ldntech1”，如有必要，可以使用該功能。

我知道這是雙跳問題，我需要使用SPN，在今天之前我從未聽說過。我對如何添加它們的語法感到困惑，並且如果我僅需要一個Web服務或者是否需要為每個我想連接的MSSQL服務器添加一個。

我的網站托管在別名fiportal.domain.net上，實際服務器名稱為ldn55spr.domain.net

任何幫助將不勝感激。

謝謝

Answer 1

您嘗試做的事情稱為約束委派。 那應該可以幫助您進行Google搜索。

您需要了解，所有此憑據委派的基礎技術是Kerberos。 服務主體名稱（SPN）是Kerberos。

這篇博客文章應該幫助您設置環境。

該工具將幫助您確保為約束委派正確配置您的環境。

編輯：雖然有些過時， 但這應該給您一些背景-盡管您確實說過您了解雙重跳躍問題