AレコードのSPNも作成している場合、KerberosはCNAMEで動作しますか?
現在SQL 2012環境をセットアップしています。これは、SharePoint統合モードでSSRSによってアクセスされるデータを格納するために使用されます。認証にはKerberosを使用します。
私たちができることの1つは、SQLサーバーにcnamesを使用することです。デフォルトのインスタンスを使用しており、サーバーごとに1つのインスタンスのみが必要です。
私が心配しているのは、Kerberos、IE/.NET、およびCNAMEに関する既知の問題です。 SQLサーバーのCNAMEとAレコードの両方に対してSPNが正しく設定されていることを確認している限り、この構成が機能するかどうか疑問に思っていましたか?
最初はそんなことはできないとは言いたくなかったのですが、考え直してみてください。
""すべての新しいDNSエイリアス(CNAME)レコードのKerberosサービスプリンシパル名(SPN)、ホスト名、および完全修飾ドメイン名(FQDN)を登録する必要があります。これを行わない場合、KerberosチケットリクエストDNSエイリアス(CNAME)レコードが失敗し、エラーコードKDC_ERR_S_SPRINCIPAL_UNKNOWNが返される場合があります。」
フォローアップでは、Kerberos接続が正しく確立されていることを確認できます。 SQLクラスター名のSPNが作成されている限り、CNAMEのみが必要であることを確認するリンクに感謝します。
技術的には、SQL Server SPNにはインスタンス名が含まれているため(同じコンピューターで2番目の名前のインスタンスを使用している場合)、クラスターのDNSホストをCNAMEエイリアスとして登録し、付録A、Kerberosで説明されているCNAMEの問題を回避できます構成に関する既知の問題(SharePoint Server 2010)。ただし、CNAMEを使用する場合は、CNAMEエイリアスのDNS(A)レコードホスト名を使用してSPNを登録する必要があります。
CNAMEのSPNを登録できます。私は私が働いている場所でそれを行います。