Сбой подключения компонента Service Broker с использованием проверки подлинности Windows, если учетная запись службы не является администратором с обеих сторон

Question

Топология:

Машина A - Windows Server 2008 - SQL 2008 R2 Dev SQL Server работает как mydomain \ user1

Машина B -Windows 7 -SQL 2008 R2 Dev SQL Server работает как mydomain \ user1

Я предоставил учетной записи службы на любом конце разрешения на подключение к конечным точкам на любом сервере SQL. Если я добавлю mydomain \ user1 в группу администраторов компьютеров с любого конца, соединения будут установлены без проблем. Если я удаляю его из этих групп, я получаю следующее сообщение:

Ошибка установления соединения. Ошибка вызова ОС: (8009030c) 0x8009030c (попытка входа не удалась). Штат 67.

Любая помощь приветствуется. Мы действительно не уверены в необходимых минимальных правах. Мы планируем со временем перенести это в рабочую среду, и я бы не предпочел, чтобы служба sql работала в качестве администратора локальной машины. Кстати, я включил своих администраторов сервера в цикл, и SPN, кажется, настроены правильно в меру своих знаний.

Я задавал тот же вопрос на форумах MSDN здесь .

Answer 1

Если обе машины работают как учетная запись службы пользователя домена, и вы предоставили необходимое разрешение (ПОДКЛЮЧИТЬ на конечных точках SSB), в настройке SSB больше ничего не нужно делать. Эта ошибка является ошибкой ОС, и лучшим способом ее изучения является использование документа по устранению неполадок Kerberos: Устранение неполадок с ошибками Kerberos .

Наиболее вероятная причина - неверно отформатированный SPN. Service Broker запрашивает и SPN как MSSQLSvc\<hostname>:<port>. Он отформатирует запрошенное имя участника-службы (DsMakeSpn) из адреса маршрута, поэтому, если вы используете FQDN в маршруте, тогда SPN должен быть FQDN, если вы используете только имя хоста, тогда SPN должен быть основан на имени хоста. Эта часть также поступает с маршрута, если она не указана, по умолчанию используется значение 4022.