Чому MS SQL Server використовує аутентифікацію NTLM?

Windows Server 2008 R2.

Встановлено SQL Server 2008 R2.

Служба MSSQL працює як локальна система.

Сервер FQDN - це SQL01.domain.com.

SQL01 приєднується до домену Active Directory під назвою domain.com.

Далі виводиться setpn:

C:\> setspn -L sql01
...
MSSQLSvc/SQL01.domain.com:1433
MSSQLSvc/SQL01.domain.com
WSMAN/SQL01.domain.com
WSMAN/SQL01
TERMSRV/SQL01.domain.com
TERMSRV/SQL01
RestrictedKrbHost/SQL01    
RestrictedKrbHost/SQL01.domain.com
HOST/SQL01.domain.com
HOST/SQL01

Потім я запускаю студію управління SQL Server і підключаюсь до SQL01 таким чином:

Потім я запускаю такий запит:

SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@spid 

І результат - NTLM. Чому результат не Керберос? SPN, здається, є правильним для використання облікового запису локальної системи. Сервер не знаходиться в кластері або не використовує CNAME.

Це тому, що я підключався до SQL Server локально, з того самого сервера, на якому розміщувався SQL Server. Коли я підключаюсь до іншої машини в мережі, використовуваний механізм аутентифікації - це Kerberos, як і очікувалося.

SQL Server завжди використовуватиме NTLM при локальному підключенні. Kerberos використовується лише при віддаленому підключенні.

Цей пост із блогу протоколів SQL Server , хоча й датований, говорить те саме:

1) Kerberos використовується при встановленні віддаленого з'єднання через TCP / IP, якщо представлений SPN.

2) Kerberos використовується при встановленні локального tcp-з'єднання на XP, якщо SPN представлений.

3) NTLM використовується під час встановлення локального з'єднання на WIN 2K3.

4) NTLM використовується над з'єднанням NP.

5) NTLM використовується через TCP-з'єднання, якщо не знайдено SPN.