System Center Service Manager SPN Kayıtlarının Yapılandırılması
System Center Service Manager (SCSM), istemcileri ve sunucuları doğrulamak, iletişim kanallarındaki verileri şifrelemek ve çeşitli işlevleri desteklemek için Kerberos protokolünü kullanır. Kerberos protokolü kapsamında, Hizmet Ana Adları (SPN) kritik bir rol oynar. SPN kayıtlarının doğru yapılandırılmaması durumunda, şu sorunlarla karşılaşılabilir:
- Active Directory Bağlayıcısı sorunları (başlar ancak veri akışı durur).
- Veri ambarı (DW) senkronizasyon hataları.
- Servislerin yüksek bellek tüketimi.
- Kerberos ile ilgili hata mesajları.
Bu belgede, SPN kayıtlarını doğru bir şekilde yapılandırmak için temel adımlar özetlenmiştir. Örnek komutlarda gösterilen adlar yalnızca örnek olarak verilmiştir ve çevrede kullanılan gerçek etki alanı ve hizmet adlarının yerini almamalıdır.
1. SPN Kayıtlarının Tanımı
SPN (Service Principal Name), bir hizmeti tanımlamak için Active Directory’ye kaydedilen benzersiz bir adır. SPN kayıtları, istemcilerin hangi hizmetin hangi hesap altında çalıştığını doğru bir şekilde bulmasına olanak tanır.
SCSM için aşağıdaki iki önemli bileşenin SPN kayıtları yapılandırılmalıdır:
- SDK Servisi (MSOMSdkSvc): Service Manager’ın çekirdek iletişim bileşenidir.
- SQL Veritabanı Hizmeti (MSSQLSvc): Veri tabanı işlemleri için kullanılır.
2. SPN Kayıtlarının Eklenmesi
SPN kayıtları, aşağıdaki komutlarla Active Directory’ſe kaydedilir. setspn komutu kullanılarak, hizmetlerin ve sunucuların doğru bir şekilde tanımlanması sağlanır.
2.1. SDK Servisi SPN Kayıtları
SDK servisi için SPN kayıtları şu komutlarla eklenir:
setspn -A MSOMSdkSvc/SUNUCU_ADI ETKI_ALANI\HIZMET_HESABI
setspn -A MSOMSdkSvc/SUNUCU_ADI.fqdn.adı ETKI_ALANI\HIZMET_HESABI2.2. SQL Servisi SPN Kayıtları
SQL sunucusu için SPN kayıtları, şu şekilde tanımlanır:
SetSPN -s "MSSQLSvc/SUNUCU_ADI.fqdn.adı" "ETKI_ALANI\HIZMET_HESABI"
SetSPN -s "MSSQLSvc/SUNUCU_ADI.fqdn.adı:1433" "ETKI_ALANI\HIZMET_HESABI"Not: “ETKI_ALANI”, “HIZMET_HESABI” ve “SUNUCU_ADI” yer tutucularını kendi ortamınıza uygun bilgilerle değiştirin.
2.3. Örnek SPN Kayıtları
Şu senaryoda örnek bir kurulum gösterilmektedir:
- SDK Servisi için:
setspn -A MSOMSdkSvc/SUNUCU ADI DOMAIN\SERVİS HESABI setspn -A MSOMSdkSvc/SUNUCUSU ADI.fqdn.local DOMAIN\SERVİS HESABI - SQL Sunucusu için:
SetSPN -s "MSSQLSvc/SUNUCU ADI.fqdn.local" "DOMAIN\SERVİS HESABI" SetSPN -s "MSSQLSvc/SUNUCU ADI.fqdn.local:1433" "DOMAIN\sql_service"
Not: Bu işlem tüm SCSM sunucuları için tekrarkanmalıdır.
3. SPN Kayıtlarının Kontrolü
SPN kayıtlarını kontrol etmek için aşağıdaki komutlar kullanılabilir:
setspn -L DOMAIN\HIZMET_HESABIBu komut, belirtilen hesap için tanımlı SPN kayıtlarını listeler.
SPN Kayıtlarının Kontrol Örnekleri:
- SDK servisi SPN kontrolü:
setspn -L DOMAIN\SERVİS HESABI - SQL servisi SPN kontrolü:
setspn -L DOMAIN\SERVİS HESABI
Yinelenen SPN Kayıtlarını Kontrol
Yinelenen SPN kayıtları sistemde çakışmalara neden olabilir. Bu kayıtları kontrol etmek için:
setspn -XEğer yinelenen kayıt bulunursa, ilgili kayıtı aşağıdaki gibi silebilirsiniz:
setspn -D SPN_ADI DOMAIN\HESAP_ADI4. SPN Kayıtlarının Yanlış Yapılandırılması Durumunda
SPN kayıtları yanlış yapılandırılmışsa, aşağıdaki sorunlar yaşanabilir:
- Active Directory Bağlayıcısı hataları.
- Veri Ambarı aktarımlarının başarısızlığı.
- Kerberos ile ilgili “KRB_AP_ERR_MODIFIED” gibi hata mesajları.
Bu durumda, yanlış kayıtları temizleyip doğru kayıtları eklemeniz gerekir.
5. Kerberos Delegasyonu
SCSM Kerberos protokolü kapsamında delegasyonu destekler. Delegasyon yapılandırması için:
- Active Directory’de, sunucunuz veya hizmet hesabı için “Delegation for Kerberos” yetkisi etkinleştirilmelidir.
- Active Directory Kullanıcılar ve Bilgisayarlar aracında ilgili nesne için:
- “Trust this computer for delegation to any service (Kerberos only)” ayarını yapın.
SCSM kurulumunda SPN kayıtlarının doğru yapılandırılması, servislerin doğru ve kesintisiz çalışması için kritik bir öneme sahiptir. Bu adımları takip ederek Kerberos protokolünü etkin bir şekilde kullanabilir ve olası hata senaryolarını önleyebilirsiniz.
