如何在SQLServer故障转移群集中启用Kerberos身份验证.docx

如何在 SQL Server 故障转移群集中启用 Kerberos 身份验证Kerberos 是一种网络身份验证协议，用于为客户端/服务器应用程序提供严格的身份验证。 Kerberos 为互操作性奠定了基础，同时增强了企业范围的网络身份验证的安全性。可以将 Kerberos 身份验证用于运行在 Microsoft Windows 2000 Service Pack 3 (SP3) 上的 Microsoft SQL Server 2005 独立实例或故障转移群集实例。 SQL Server 2005 支持 Microsoft Windows 2000 Active Directory 域典型安装中包含的这个功能。当 SQL Server 所依赖的网络名称资源在基于 Windows 2000 的群集中时，将计算机升级到 Windows 2000 SP3 后，就可以对该资源使用 Kerberos 身份验证。 有关对服务器群集启用 Kerberos 的其他信息，请参阅知识库文章“/kb/235529Kerberos Support on Windows 2000-based Server Clusters”。下一节介绍了如何连接到运行 Microsoft Internet 信息服务 (IIS) 的服务器，以便与运行 SQL Server 的服务器建立 Kerberos 连接。javascript:void(0)必备项只有在运行 Windows 2000 SP3 时才能使用此功能。在执行设置过程之前，请先下载 Kerbtray 和 SetSPN 实用工具。若要下载 Kerbtray 实用工具，请访问?/fwlink/?LinkId=48923Microsoft 网站。 使用 Kerbtray.exe，您可以在所使用的任意关联计算机上轻松地验证和/或删除 Kerberos 票证。若要下载 SetSPN 实用工具，请访问?/fwlink/?LinkId=48925Microsoft 网站。仅在客户端使用 TCP/IP 协议连接到 SQL Server 时，SQL Server 才使用 Kerberos。 例如，如果客户端使用命名管道协议，则不使用 Kerberos。 如果计算机上存在多个 SQL Server 实例，则必须为每个 SQL Server 实例配置服务器主体名称，因为每个 SQL Server 实例都使用唯一的 TCP-IP 端口。javascript:void(0)连接到运行 Microsoft Internet 信息服务的服务器，并与 SQL Server 2005 建立 Kerberos 连接步骤 1：配置域控制器在域控制器的“Active Directory 用户和计算机”中：右键单击要设置委托的计算机（IIS 服务器），再单击选中“此计算机可以信任，可用来委托”。 如果运行 SQL Server 的计算机似乎是所连接的最后一台计算机，但该计算机有一台链接服务器，则还必须向其授予委托权限。 如果它不是链中的最后一台计算机，则必须信任中间的所有计算机，使它们可用于委托。向 SQL Server 服务帐户的域用户帐户授予委托权限。 您必须有一个域用户帐户用于所安装的 SQL Server 群集（对于使用本地系统帐户运行 SQL Server 的计算机，不需要此步骤）：在 Users 文件夹中，右键单击用户帐户，再单击“属性”。在“用户帐户属性”对话框中，单击“帐户”选项卡。在“帐户选项”下，单击以选中“帐户可以信任，可用来委托”复选框。 确保为此帐户取消选中“帐户是敏感帐户，不能被委托”复选框。使用 Kerbtray.exe 实用工具来验证 Kerberos 票证是否是从域控制器和主机接收到的：右键单击通知区域中的 Kerbtray 图标，再单击“清除票证”。等待绿色的 Kerbtray 图标从绿色变为黄色。 之后，立即打开命令提示符窗口，然后运行以下命令：net session* /d?这将删除现有会话，然后强制建立新会话并接收 Kerberos 票证。步骤 2：配置 IIS 服务器用 .asp 示例文件替换默认网站的?Wwwroot?文件。 若要创建 .asp 示例文件，请使用“用于检索 SQL Server 数据的 ASP 测试脚本”一节中提供的代码。将该文件添加到?Wwwroot?文件夹。 若要执行此操作，请使用“用于检索 SQL Server 数据的 ASP 测试脚本”一节中的代码。 将该文件另存为?Default.asp。将 Web 服务器重新配置为仅使用集成 Windows 身份验证：右键单击默认的 Web 服务器，再单击“安全性”文件夹。在“安全性”文件夹中，进行正确的更改，再单击以清除“匿名访问”。从命令提