连接SQL Server数据库时发生报错“The target principal name is incorrect. Cannot generate SSPI context”,无法连接,可能是由于AD域中记录了错误的SPN,导致无法进行身份验证而连接失败。下文通过简述Kerberos认证过程、SPN的组成,引出由SPN错误引发报错的解决方法。
Kerberos认证
1. Kerberos认证步骤
Kerberos认证需要包含KDC(Key Distribution Center)、客户端用户、提供服务的服务器三个组件。其中KDC是域控的一部分,执行两个任务:认证服务(AS)、票据许可服务(TGS)
- 当客户端用户登录到网络时,会向用户所在域的AS申请一个“票据请求票据”(TGT);
- 当客户端要访问网络上某个资源时,需要出示TGT、认证码、SPN(Server Principal Name),借此从用户所在域的TGS获取session票据;
- 客户端使用这个session票据和认证码向网络上的服务获取访问令牌,接下来就可以登录上该服务了。
2. 使用Kerberos身份验证的条件
- 客户端和服务器需要加域,当客户端和服务器加入不同域时,两个域需要有相互信任关系;
- 提供服务的服务器需要注册正确的SPN。
注:从Windows Server 2003开始默认使用Kerberos认证方式,当网络上没有注册SPN时,就会使用NTLM认证方式,这个步骤叫做NTLM Fallback;如果网络上有注册SPN,但这个SPN注册在了错误的账户下(例如不是SQL Server服务启动账号),则认证失败,且不会再次尝试NTLM认证。
SPN(Server Principal Name)
1.SPN的组成
SPN是服务器上所运行服务的唯一标示,每个使用Kerberos的服务都需要一个SPN,这样客户端才可以辨认这个服务。SPN需要注册在AD域的计算机账户或者域用户账户下。
一个SQL Server的SPN由以下元素组成:
服务类型:标示了服务的泛用类。对于SQL Server而言,是MSSQLSvc。
主机:有两种形式。一个是运行SQL Server的计算机的FQDN。还有一种就是SQL Server的计算机的netbios名字,俗称短名。
端口号/实例名:服务所监听的计算机端口号。对于SQL Server而言,如果SQL运行在