Remote message system error 2146893044

» DameWare NT Utilities

в настройках клиента сними Notify on Connection

столкнулся с такой же проблемой — MRC v6.8 при первом подключении обнаруживает что Mirror driver не установлен, предполагает что он будет доступен после перезагрузки удаленной машины, но и после перезагрузки драйвера не появляется.

Встретился со следующей проблемой и не могу ничего понять
стандартным RDP цепляется, \имя+машadmin$ доступ есть
служба устанавливается, DameWare NT Utilities работает полностью нормально
но при этом DameWare Mini Remote Control не работает пишит ака
system error:5

в логах:
Error:
DameWare Mini Remote Control
System Error: -2146893044
Failed to establish a security context. OS Error Code: [SEC_E_LOGON_DENIED] The logon attempt failed. : (srv)

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

сетка состоит из двух и соеденно все напрямую через маршрутизатор
+ используется vpn для интернета

Какие файлы и куда надо закинуть на клиентские машины,чтобы удаленно установить на них клиент DameWare NT Utilities

Добавлено:
И еще вопрос по DameWare Mini Remote Control.При удаленном входе на локальном компе пропадает обоя рабочего стола,как этого избежать?
Где-то в теме было-ненайду

Проблемка: инсталю сервис клиенту, удалено что-то там делаю, после перезагрузки компа у клиента разрешение экрана 800 на 600 цвет 4 бита. По логам такая ошибка :

Error:
DameWare Mini Remote Control
System Error: 31
The graphic device driver supports more than one (1) planes
DameWare Mini Remote Control cannot be used with this graphic device driver.
You can try to disconnect and force a specific display option in the host properties of DWRCC.EXEor you can install better display drivers and/or display card.

В устройсвах появляется доп устройство : DameWare Development Mirror Driver.
Если его удалить у клиента после перезагрузки все нормально.

Как сделать так чтобы видеоадаптер не переключался на DameWare Development Mirror Driver ?

Проблема решена.
Все дело в ASUS Enchanced Driver который ставиться с диска от видеокарты ASUS 7600 и.д.
Лечится убиванием этого драйвера.

Добрый день, anaksa !

У меня такая же проблема!

При первом подключении выскакивает синий экран “смерти” . После перезагрузки 800 на 600 4 бита.
Лечится только путем удаления драйвера DameWare Development Mirror Driver или его отключения.
Видеокарта у клиента Nvidia GT6600
Так куда посмотреть? )))

Благодарю Вас за ответ.
Да, я снимал галочку использовать Mirror Driver. Вот только изображение начинает тормозить )) А ведь хочется, чтобы все режимы работали )))

Нужно у пользователя убрать Notification при подключении к нему. Сделал инсталятор DWRCS32.MSI при установке пользователю, перенеслись настройки по умолчанию, а не те ,которые я выставлял. Перенес ini файл на тачку юзера, иконка в трее пропала, но пи подключении появляеться и окно Notification тоже. Как убрать?
DWRCS.INI
[Settings]

Port=6129
Adgang NTLM=No
Notify On New Connection=No
Notify On Disconnection=No
No Notify Sound=Yes
Notify On New Connection Timeout Value=15
Permission Required=No
Center Permission Dialog=No
Permission Dialog Set Focus On Decline Button=No
Show SysTray Icon=No
Enable User Option Menu=No
Option Notify On New Connection=No
Option Notify On New Connection Dialog Timeout=No
Option On Disconnect Logoff Desktop=No
Option On Disconnect Logoff Desktop Force Applications Close=No
Option On Disconnect Lock Workstation=No
Option Logon At Logon Desktop Only=No
Option Logon At Logon Desktop Only Timeout=No
Option Enable File Transfer=No
Option Enable Chat=No
Option Enable Chat Allow Anyone To Initiate=No
Option Permission Required=No
Option Enable Add Client Connection Menu=No
Option Enable DisConnection Menu=No
Option Enable Email Notification=No
Option Enable Email Notification Change Email Address=No
Permission Required for non Admin=No
Permission Required for non Admin Disconnect If At Logon Desktop=No
Permission Required for non Admin Force View Only=No
On Disconnect Logoff Desktop=No
Force Applications Close=No
On Disconnect Lock Workstation=No
Logon At Logon Desktop Only=No
Logon At Logon Desktop Only Timeout=No
Logon At Logon Desktop Only Timeout Value=20
Enable Add Client Connection Menu=No
Enable Disconnection Menu=No
Enable Settings Menu=No
Absolute Timeout=0
Requires Explicit Remote Admin Rights=No
Allow Only Administrators To Connect=No
Requires Logon Locally Privilege=No
Must Be Member Of This Local Group=No
Local Group Name=
Must Be Member Of This Global Group=No
Global Group Name=
Enable Email Notification=No
Email Notification Address=
Email Notification Server=
Disable Host Lookup=Yes
Socket Logon Timeout=90000
Authentication Type=1
Must Have Logon Locally Rights with Windows Logon=No
SFT: Enable Simple File Transfer=No
SFT: Append Host Name=No
SFT: Upload Folder=%SYSTEMROOT%DWRCS Uploads
SFT: User Response Time Out=6000
Disable Version Downgrade=No
Global Group Machine 0=
Global Group Machine 1=
Global Group Machine 2=
Global Group Machine 3=
Global Group Machine 4=
Global Group Machine 5=
Allow All Administrators To Have Control=No
Upgrade Information=
Downgrade Information=
Max Access Log Size=10240000
Force Encrypt Data=No
Force Encrypt Images=No
Force Encrypt Files=No
Configuration Version=5.5
[Proxy]
Enable Proxy=No
Require Shared Secret=No
Disable Remote Control=No
[IP Filter]
Enable Filter For Remote Control=No
Enable Filter For Proxy=No
Access Granted=Yes

Здравствуйте, подскажите, уважаемые админы, такую штуковину. В данной проге обнаружил возможность подключения «Mini Remote control» через прокси. Здесь нужно указывать прокси внутренний, програмный? Тогда как его включить? Или ставить отдельную проксю вроде UserGate или TI и делать перенаправление портов? Конкретно, я хочу получить доступ к компу внутри удалённой корпоративной сети, к которому нет прямого внешнего доступа.

Клиент DameWare на том компе установлен. Есть прямой доступ к серверу, выполняющему роль прокси сервера Интернета в той, удалённой сети. На нём тоже установлен клиент DameWare.

Источник

Dameware development mirror driver 64 bit что это

Во-первых сразу надо оговориться Hedgehogs, раз твой компьютер в домене, какие локальные права ты имешь? Администраторские, опытный пользователь, пользователь?

ИМХО- Защититься можно лишь с помошью установки стороннего брандмауэра с жёстко заданными политиками, т.к. DameWare и ряд других средст удалённого администрирования не нуждаются в локальной установке клиента. Установка и запуск происходит удалённо. При этом DameWare NT Utilities позволяют при отключении автоматически устанавливать, запускать, останавливать и удалять службы. Ты можешь даже ничего не знать об этом, а к тебе подключатся, посмотрят и отключатся.

rizz
Обычно в доменной среде не практикуется давать пользователям права на установку сторонних брандмауэров, поэтому фраза «плюс любой файрвол» может прозвучать как издевательство, также как и отключение/остановка службы или изменение автозагрузки.

Dameware development mirror driver 64 bit что это

DameWare NT Utilities в первую очередь нацелена на управление компьютерами в корпоративных сетях построенных на базе Windows.

* Также существует Dameware Central Server (DCS) — возможность централизованно управлять всеми пользователями DRS и MRC (а также MobileGateway — для мобильных приложений).

Системные требования:
На управляющем устройстве:
* DRS/MRC 12.1: Windows Vista/7/Server2008R2 и новее (32/64 bit)
* DCS 12.1: Windows Vista/7/Server2008R2 и новее (32/64 bit)
* DameWare Mobile: Android 4.0 и новее | iOS/iPadOS 8.0 и новее

На управляемом устройстве (серверная часть на клиентском компе) :
* Dameware Mini Remote Control Server (MRCS) — Windows NT 4.0 (Server/Workstation) / Windows 95 и новее
* (VNC) — Mac OS X 10.4 и новее
* (VNC) — Linux
* (AMT KVM) — Intel vPro

С 1999 «DameWare NT Utilities» (дамварь) разрабатывалась фирмой «DameWare Development», в декабре 2011 куплена «SolarWinds» и переименована в «SolarWinds DameWare».

Даты некоторых релизов DameWare, для сведения:
2011 декабрь 12 — 7.5.9.1. Последняя версия с простейшей регистрацией. Уже SolarWinds (в «about»), ещё DameWare по ключам. Поддержка Unicode, x64, Windows 7.
2015 октябрь 06 — 12.0.0
2016 март — 12.0.2
2016 апрель -12.0.3
2016 декабрь — 12.0.4
2018 август — 12.0.5
2018 октябрь — 12.1.0
2020 апрель — 12.1.1
2021 февраль — 12.1.2
2021 июнь — 12.2

в логах:
Error:
DameWare Mini Remote Control
System Error: -2146893044
Failed to establish a security context. OS Error Code: [SEC_E_LOGON_DENIED] The logon attempt failed. : (srv)

Error:
DameWare Mini Remote Control
System Error: 31
The graphic device driver supports more than one (1) planes
DameWare Mini Remote Control cannot be used with this graphic device driver.
You can try to disconnect and force a specific display option in the host properties of DWRCC.EXEor you can install better display drivers and/or display card.

В устройсвах появляется доп устройство : DameWare Development Mirror Driver.
Если его удалить у клиента после перезагрузки все нормально.

Как сделать так чтобы видеоадаптер не переключался на DameWare Development Mirror Driver ?

Добрый день, anaksa !

У меня такая же проблема!

При первом подключении выскакивает синий экран “смерти” . После перезагрузки 800 на 600 4 бита.
Лечится только путем удаления драйвера DameWare Development Mirror Driver или его отключения.
Видеокарта у клиента Nvidia GT6600
Так куда посмотреть? )))

Какие настройки необходимо произвести? На машине с прямым доступом в настройках указал «Enable Proxy». Пытаюсь с удалённой машины соедениться, выдаёт ошибку:

System Error: 10060
System Message: Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера.

Authentication falied:
System error: 5
System Message: Access denied

LiteManager удаленный доступ, импортозамещение TeamViewer и DameWare

Многие пользуются программами удаленного управления компьютером, как для личных нужд, так и в коммерческих целях, большинство таких программ зарубежного происхождения, хотя есть и отечественные аналоги, в свете набирающей тенденции на импортозамещение иностранных товаров попробуем разобраться, можно ли заменить зарубежный софт отечественным аналогом.

Программ много, но остановим свой взгляд на известных брендах TeamViewer, DameWare и отечественном LiteManager.
До того как мы начнем сравнивать и анализировать их, давайте обоснуем экономическую целесообразность самого процесса импортозамещения, есть ли в этом смысл?

Сравнение стоимости лицензирования

Учетные записи 1 (3).

Каналы / одновременные пользователи 1.

Учетные записи – без ограничений.

Каналы 1. Одновременные пользователи — не ограниченно.

Учетные записи 1.

Каналы – не ограничены. Одновременные пользователи 1.

Учетные записи 50.

Каналы / одновременные пользователи 1.

Учетные записи – без ограничений.

Каналы 1. Одновременные пользователи — не ограниченно.

Учетные записи 1.

Каналы – не ограничены. Одновременные пользователи 1.

Учетные записи 200.

Каналы / одновременные пользователи 3.
(каждый дополнительный канал
45200 руб.)

Учетные записи – без ограничений.

Каналы 3. Одновременные пользователи — не ограниченно.
(каждый дополнительный канал
15000 руб.)

Учетные записи 3.

Каналы – не ограничены. Одновременные пользователи 3.
(каждый дополнительный пользователь примерно по 27000 руб.)

Стоит отметить, что у LiteManager два типа лицензировения, кроме HelpDesk лицензии на количество каналов, есть еще стандартная лицензия на количество удаленных компьютеров, 300 руб. за устройство. Предоставляется 20% скидка при покупке напрямую.
Есть еще один нюанс, при переходе от версии к версии у TeamViewer, например с 10 на 11, приходится покупать каждый раз новую лицензию.

Наличие бесплатной версии

Многим будет особо интересно наличие так называемой бесплатной версии, если она есть.
Программа DameWare нас не порадует наличием бесплатной версии.
А вот TeamViewer предлагает использовать свою программу только в некоммерческих целях, поработав недолго всего-то пару раз в день, возможно получение уведомление об ограничение сеанса в 5 минут.
У LiteManager предлагается бесплатная версия для работы с 30-ю компьютерами, но с ограниченной функциональностью, использовать ее можно как в личных, так и в коммерческих целях.

Сравнение скорости и удобства работы

Программа TeamViewer показала себя прекрасно, все просто, удобно и быстро, думаю это лучшее решение для быстрой удаленной поддержки через Интернет.
LiteManager был не так быстр как TeamViewer, соединение по ID устанавливалось медленнее, но почитав немного информации, выяснилось, что для комфортной работы через интернет лучше в опциях соединения по ID выбрать “новый NOIP” или настроить свой личный ID роутер.
В DameWare работать в интернете по ID можно через интернет прокси.
Для работы в локальной сети проще использовать DameWare или LiteManager, причем DameWare значительно удобней использовать в доменной сети.

По функциональным возможностям программы отличаются, поэтому сравнивать технические характеристики лучше в формате “один на один”.

Сравним TeamViewer и LiteManager

Обе программы могут быть установлены на компьютер или работать без установки (режим QuickSupport), при запуске TeamViewer отображает главное окно в котором указан Ваш ID и пароль, его нужно сообщить другому пользователю для подключения к Вам или можно ввести ID партнера для того что бы подключится к нему.

Для создания списка компьютеров и контактов необходимо зарегистрироваться, для чего необходим Интернет. Для удаленной работы предлагается два основных режима управление рабочим столом и передача файлов, доступны еще текстовый чат, аудио-видео чат, конференции, трансляция экрана и многое другое для более продвинутого использования, например модуль мониторинга ITBrain, подключение через веб-интерфейс и т.д.

Программа LiteManager состоит из двух основных частей это Viewer – главный модуль позволяющий просматривать и управлять удаленными компьютерами, и Server – это клиентский модуль, устанавливаемый на удаленном компьютере. Получается так, что есть четкое разделение между главным и управляемым компьютером, это удобно для администрирования большого количество компьютеров. LiteManager может работать в закрытой локальной сети, для создания списка контактов не требуется Интернет.
Есть возможность задавать ID по своему желанию, например можно указать любую комбинацию цифр или букв.

Для работы доступны основные режимы: управление рабочим столом, передача файлов, чат, демонстрация экрана и дополнительные продвинутые возможности, например запись экрана, встроенная “HelpDesk” служба и т.д.
Есть возможность настройки своего личного ID роутера в программе.

Сравним DameWare и LiteManager

Программа DameWare впечатляет своими возможностями, богатым набором функций, например глубокая интеграция с доменом, удаленная установка, поддержкой различных протоколов RDP, VNC, технологии Intel AMT и многое, многое другое, что может потребоваться в крупной доменной сети с большим количеством компьютеров. Для удаленной работы предлагаются режимы подключения к рабочему столу, передачи файлов и т.д. Что бы настроить такую программу и работать с ней в доменной сети, администратору нужна хорошая квалификация.

Программа LiteManager предлагает ряд аналогичных DameWare функций, к примеру, есть возможность импорта компьютеров из домена, функция удаленной установки, поиска компьютеров в сети, возможность централизованного управления настройками. Присутствует поддержка протокола RDP.

Примечание

Исходя из экономического обоснования и общих технических характеристик, импортозаещение волне возможно, если вдаваться более глубоко в технические детали, то здесь каждый должен для себя решать индивидуально какая программа ему больше подходит.

Dameware development mirror driver 64 bit что это

DameWare Remote Support (ранее называлась DameWare NT Utilities)

Цитата Один из русскоязычных download-сайтов:

DameWare NT Utilities — сборник утилит, предназначенных для удаленного администрирования операционных систем Windows NT/2000/XP. Это приложение включает в себя набор административных средств Microsoft Windows NT и централизованный интерфейс для удаленного управления серверами и рабочими станциями Windows NT/2000/XP. В состав DameWare NT Utilities входят все стандартные утилиты для серверов Windows NT/2000 и рабочих станций Windows NT/2000/XP, а также большое количество утилит DameWare NT, в том числе облегченный модуль дистанционного управления. Программа, предназначенная для управления корпоративными системами на платформе Windows NT/2000/XP/2003/Vista, позволяющая администраторам обойти ограничения Microsoft Management Console (MMC). DameWare NT Utilities (DNTU) включает большое количество средств администрирования Microsoft Windows, объединенных под одним общим централизованным интерфейсом, и позволяет удаленно управлять серверами и рабочими станциями Windows. Практически все стандартные утилиты, входящие в состав DNTU, доступны через интерфейс в стиле Проводника, большинство из них было улучшено для обеспечения высочайшей производительности, дополнительной функциональности и легкости в использовании. DNTU также включает специализированные средства, такие, как: DameWare Mini Remote Control и Exporter, а также поддерживает стандартные страницы свойств и контекстное меню оболочки. В этой версии добавлена полная поддержка платформы Vista (32-х и 64-битные версии), введена уникальная для рынка средств удаленного управления поддержка удаленного входа в системы с использованием смарт-карт, произведены улучшения в протоколе передачи данных. Без регистрации каждая из утилит работает 30 дней.

The Ultimate Enterprise System Management Software for Windows DameWare NT Utilities is an enterprise system management application for Windows NT/2000/XP/2003 which provides an integrated collection of Microsoft Windows NT administration utilities incorporating a centralized interface for remote management of Windows NT/2000/XP/2003 Servers and Workstations. All of the standard Windows NT/2000/2003 Server and Windows NT/2000/XP Workstation utilities are included, along with many DameWare NT Utilities custom NT tools including Mini Remote Control and Exporter. Most of the standard utilities have been drastically enhanced for superior performance, added functionality and ease of use.

DameWare NT Utilities contains an Active Directory Browser view for Active Directory implementations as well as a dynamic Network Browser view which will display Microsoft Windows Network domains in a network explorer tree view. Active Directory Sites can easily be added or removed from the Active Directory site list. Windows NT domains can be added to the Favorite Domains section of the Network Browser view. Domain controllers, servers and workstations, as well as non-browsable machines, can be specified by machine name or IP address and added to the network explorer tree view.

DameWare NT Utilities includes a Mini Remote Control for fast and easy deployment and an Exporter to quickly extract information from remote NT/2000/XP/2003 machines.

DameWare Development’s affordable licensing policy is based on the number of administrators actually using the software, regardless of the number of servers or clients accessed. The 30-day trial version is fully functional and free technical support is available via email both during and after the evaluation period.

DameWare NT Utilities requires Windows NT4 / 2000 / XP / 2003.
It is not supported on Windows 95 / 98 / Me.

Источник

← Вернуться в раздел «Программы»

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839

Предыдущая тема: Управление окнами в MyIE ?

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель — сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.

You have already stated, respectively listed what the issue could be:

OLE DB provider «SQLNCLI11» for linked server «LinkedServerName» returned message
«Cannot generate SSPI context».
Msg -2146893044, Level 16, State 1, Line 0 SQL Server Network Interfaces:
The logon attempt failed

So what is SSPI? Microsoft describes it as:

In conjunction with its operating systems, Microsoft offers the Security Support Provider Interface (SSPI). The SSPI provides a universal, industry-standard interface for secure distributed applications.

^{Reference: Security Support Provider Interface (SSPI) (Microsoft Docs)}

Basically it’s how an application authenticates itself, the user or other components against an endpoint asking for authentication.

In the Architectural Overview there is the description that …

A variety of SSPs and packages are available. Windows ships with the NTLM security package and the Microsoft Kerberos protocol security package. In addition, you may choose to install the Secure Socket Layer (SSL) security package, or any other SSPI-compatible SSP.

^{Reference: SSPI Architectural Overview (Microsoft Docs)}

NTLM

When your old application starts in the other domain it will pass on the old NTLM SID value and compare it with what is stored in the SQL Server instance.

If there is a match [Domain/User] with a SQL Server Login [Domain/User] then SQL Server will let the user login to the relevant databases. SQL Server will do the same for a [Domain/User] that is assigned to a SQL Server Windows Group Login.

Kerberos

Kerberos relies on the ability of a user or service account being able to generate a token (of a request) and to compare this with a central provider to determine if a user is who he/she/them claim to be.

_{emphasis mine}

Kerberos V5 is based on the Kerberos authentication system developed at MIT. Under Kerberos, a client (generally either a user or a service) sends a request for a ticket to the Key Distribution Center (KDC). The KDC creates a ticket-granting ticket (TGT) for the client, encrypts it using the client’s password as the key, and sends the encrypted TGT back to the client. The client then attempts to decrypt the TGT, using its password. If the client successfully decrypts the TGT (i.e., if the client gave the correct password), it keeps the decrypted TGT, which indicates proof of the client’s identity.

^{Reference 1.1 What is Kerberos and How Does it Work? (MIT Kerberos V 5.0)}

Explanation Summary

So your Server A is trying to access Server B via a Kerberos Authentication but failling to succeed, because the SPN could be missing.

To achieve a successful authentication the Server(s) should have a Service Principal Name (SPN). Which is described as:

A service principal name (SPN) is a unique identifier of a service instance. SPNs are used by Kerberos authentication to associate a service instance with a service logon account. This allows a client application to request that the service authenticate an account even if the client does not have the account name.

And a bit further down the possible root cause:

If you install multiple instances of a service on computers throughout a forest, each instance must have its own SPN. A given service instance can have multiple SPNs if there are multiple names that clients might use for authentication. For example, an SPN always includes the name of the host computer on which the service instance is running, so a service instance might register an SPN for each name or alias of its host. For more information about SPN format and composing a unique SPN, see Name Formats for Unique SPNs.

^{Reference Service Principal Names (Microsoft Docs)}

To Cut a Long Story Short

If either your application (host) and/or your SQL Server Instance are unable to register a Service Principal Name then your application/server will be unable to authenticate users via Kerberos and your linked server may fail.

Check the ERRORLOG of your SQL Server instance and verify that the SQL Server instance was able to register its own SPN. There will be an entry during the instance startup procedure.

The SQL Server Service Account can do this if it is a Domain Service Account and some other conditions are met. Some being:

The client and server computers must be part of the same Windows domain, or in trusted domains.

and

A Service Principal Name (SPN) must be registered with Active Directory, which assumes the role of the Key Distribution Center in a Windows domain. The SPN, after it’s registered, maps to the Windows account that started the SQL Server instance service. If the SPN registration hasn’t been performed or fails, the Windows security layer can’t determine the account associated with the SPN, and Kerberos authentication isn’t used.

^{Reference: Register a Service Principal Name for Kerberos Connections (Microsoft Docs)}

Output of successful SPN registration

2020-12-01 11:14:18.87 Server      
SQL Server is attempting to register a Service Principal Name (SPN) for the SQL Server service. 
Kerberos authentication will not be possible until a SPN is registered for the SQL Server service. 
This is an informational message. No user action is required.
...
2020-12-01 11:14:18.94 Server      
The SQL Server Network Interface library successfully registered the Service Principal Name (SPN) 
[ MSSQLSvc/SERVERNAME.TG.CH ] for the SQL Server service.

If the service can’t register the SPN, then:

Note

If the server can’t automatically register the SPN, the SPN must be registered manually. See Manual SPN Registration.

Output of Unsuccessful SPN registration

2020-11-27 15:41:56.24 Server      
SQL Server is attempting to register a Service Principal Name (SPN) for the SQL Server service. 
Kerberos authentication will not be possible until a SPN is registered for the SQL Server service. 
This is an informational message. No user action is required.
...
2020-11-27 15:41:56.43 Server      
The SQL Server Network Interface library could not register the Service Principal Name (SPN) 
[ MSSQLSvc/SERVERNAME:INSTANCENAME ] for the SQL Server service. 
Windows return code: 0x200b, state: 15.
...
2020-11-27 15:41:56.43 Server      
The SQL Server Network Interface library could not register the Service Principal Name (SPN) 
[ MSSQLSvc/SERVERNAME:INSTANCEPORT ] for the SQL Server service. 
Windows return code: 0x200b, state: 15. 

Once your SQL Server instance has its SPN registered, then you should be up and running.

Solutions

Manual SPN Registration

Well you have to be a Domain Administrator or allowed to change Computer Account objects on the OU of the domain. Then you can run SETSPN with the relevant parameters:

setspn -A MSSQLSvc/host.domain.tld:1433 domainaccountname 

^{Reference: Manual SPN Registration (Microsoft Docs)}

Once an SPN has been configured for a service account, then you should be able to start the server again and access the database.

SPN registration requires a restart of the service.

Modifiy OU Object’s Permissions

In order for the SQL Server’s Service Account to create a SPN automatically in Active Directory it (the service account) should have the permissions to modify its own object (OU).

When the Database Engine service starts, it attempts to register the Service Principal Name (SPN). Suppose the account starting SQL Server doesn’t have permission to register an SPN in Active Directory Domain Services. In that case, this call fails, and a warning message is logged in the Application event log as well as the SQL Server error log. To register the SPN, the Database Engine must be running under a built-in account, such as Local System (not recommended), or NETWORK SERVICE, or an account that has permission to register an SPN. You can register an SPN using a domain administrator account, but this is not recommended in a production environment. When SQL Server runs on the Windows 7 or Windows Server 2008 R2 operating system, you can run SQL Server using a virtual account or a managed service account (MSA). Both virtual accounts and MSA’s can register an SPN. If SQL Server isn’t running under one of these accounts, the SPN isn’t registered at startup, and the domain administrator must register the SPN manually.

^{Reference: Register a Service Principal Name for Kerberos Connections (Microsoft Docs)}

Assigning the Permissions

To grant permission to modify SPNs

• Open Active Directory Users and Computers.
  To open Active Directory Users and Computers, click Start, click Run, type dsa.msc, and then press ENTER.
• Click View, and verify that the Advanced Features check box is selected.
• Click Advanced Features, if it is not selected.
  If the domain to which you want to allow a disjoint namespace does not appear in the console, take the following steps:
  • In the console tree, right-click Active Directory Users and Computers, and then click Connect to Domain.
  • In the Domain box, type the name of the Active Directory domain to which you want to allow the disjoint namespace, and then click OK.
    As an alternative, you can use the Browse button to locate the Active Directory domain.
• In the console tree, right-click the node that represents the domain to which you want to allow a disjoint namespace, and then click Properties.
• On Security tab, click Advanced.
• On the Permissions tab, click Add.
• In Enter the object name to select, type the group or user account name to which you want to delegate permission, and then click OK.
• Configure the Apply onto box for Computer objects.
• At the bottom of the Permissions box, select the Allow check box that corresponds to the Validated write to service principal name permissions, and then click OK on the three open dialog boxes to confirm your changes.
• Close Active Directory Users and Computers.

^{Reference: To grant permission to modify SPNs (Microsoft Docs)}

SPN registration requires a restart of the service. You should see a successful SPN registration in the ERRORLOG of the permissions are set correctly

Increase Kerberos Token Size

In some cases an account can belong to too many objects/AD groups/ … which will result in a rather larger Kerberos Token. In these cases you might have to increase the max token size…. Symptoms may include:

A user who belongs to a large number of security groups has problems authenticating. When authenticating, the user may see a message such as HTTP 400 > — Bad Request (Request Header too long). The user also has problems accessing resources, and the user’s Group Policy settings may not update correctly.

But

Under similar conditions, Windows NTLM authentication works as expected. You may not see the Kerberos authentication problem unless you analyze the Windows behavior. However, in such scenarios, Windows may not be able to update Group Policy settings.

^{Reference: Problems with Kerberos authentication when a user belongs to many groups (Microsoft | Docs)}

Fix

On a domain controller that is running Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, or Windows Server 2012, you can use Group Policy to add the following registry entry to multiple computers:

Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaKerberosParameters
Entry: MaxTokenSize
Data type: REG_DWORD
Value: 48000

^{Reference: How to use Group Policy to add the MaxTokenSize registry entry to multiple computers (Microsoft | Docs)}

Solution Based on Referenced Answer and Multiple Updates to Question

After reading through all the additional information in the question and other answers, I have come to the conclusion that all possible solutions have been looked at. I think this Q & A could possibly be closed as duplicate of the question which you referenced with Hannah Vernon’s answer.

However I would like to provide a solution on how to apply a fix for this issue.

When an instance of the SQL Server Database Engine starts, SQL Server tries to register the SPN for the SQL Server service. When the instance is stopped, SQL Server tries to unregister the SPN. For a TCP/IP connection, the SPN is registered in the format MSSQLSvc/:.Both named instances and the default instance are registered as MSSQLSvc, relying on the value to differentiate the instances.

For other connections that support Kerberos the SPN is registered in the format MSSQLSvc// for a named instance. The format for registering the default instance is MSSQLSvc/.

Manual intervention might be required to register or unregister the SPN if the service account lacks the permissions that are required for these actions.

^{Reference: Register a Service Principal Name for Kerberos Connections (Microsoft | SQL Docs)}

Interesting Bit of Information

One thing that should be noted is granting these rights is not recommended (see http://support.microsoft.com/kb/319723) if SQL Server is clustered or if you have multiple domain controllers as latency in Active Directory replication can cause connectivity issues with your SQL Server instance.

^{Reference: Register a SPN for SQL Server Authentication with Kerberos (MSSQLTips.com)}

So the solution would be to actdually revoke the Service Account the ability to modify its own object, which would deny it the possibility of removing an SPN during failover.

• Start Active Directory Computers and Users and make sure you are looking at the Advanced View version.

• Open up the Service Accounts properties and switch to the Security tab.

• Select the Self item from the Group- or Username section and look at the Permissions for SELF.

• Remove the Full Access and/or Write and/or Write servicePrincipalName and/or Write Public Information permission if they are selected.

• The Write servicePrincipalName might be located in the Advanced section of the Permissions (click on the button Advanced).

This should prevent further issues when the cluster does a failover because instances are restarted, which would result in the SPN being de-registered.