Použití ověřování pomocí protokolu Kerberos v serveru SQL Server

Překlady článku Překlady článku
ID článku: 319723 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Používáte ověřování pomocí protokolu Kerberos s Microsoft SQL Server 2000. SQL Server 2000 podporuje tuto funkci jako součást typickou Systém Microsoft Windows 2000 nebo Microsoft Windows Server 2003 Active Directory domény instalace. S Microsoft Windows 2000 Service Pack 3 (SP3) a Windows Server 2003, můžete povolit Ověřování pomocí protokolu Kerberos v serverových clusterech.

Další informace o této přidané funkce, klepněte na následující číslo článku v následujícím článku Znalostní báze Microsoft Knowledge Base:
235529Podpora protokolu Kerberos v clusterech serverů se systémem Windows 2000

Poznámka: Tuto funkci lze použít pouze v případě, že používáte systém Windows 2000 SP3 nebo Windows Server 2003.

Server SQL Server 2000 převzetí služeb při selhání se také používá tuto funkci. Pokud název sítě je prostředek, který je závislý na serveru SQL Server v clusteru se systémem Windows 2000 můžete používat ověřování pomocí protokolu Kerberos na prostředku po upgradu počítač na systém Windows 2000 SP3 nebo Windows Server 2003. Instalace serveru SQL Server Failover clustering, je nutné Microsoft SQL Server 2000 Enterprise Edition nebo Developer Edition nainstalována.

Poznámka: Koncepty a diskuse v tomto článku, které se vztahují k serveru SQL Server 2000 se rovněž vztahuje na SQL Server 2005. Další informace o tomto předmětu, SQL Server 2005 naleznete v následujících tématech SQL Server 2005 Books Online:
  • Jak: Povolit ověření protokolem Kerberos, včetně serveru SQL Server virtuálních serverů v clusterech serverů
  • Hlavní název služby registrace
Další informace o tom, jak se ujistěte, že používáte ověřování pomocí protokolu Kerberos v serveru SQL Server 2005 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
909801Ujistit se, že při vytvoření vzdáleného připojení k instanci serveru SQL Server 2005 používáte ověřování pomocí protokolu Kerberos

Další informace

SQL Server lze použít ověřování protokolem Kerberos pro server clustery. Používáte ověřování pomocí protokolu Kerberos s samostatných počítačů, je spuštěn SQL Server, nebo s instancí serveru SQL, které jsou spuštěny v virtuální server.

Připojení k serveru se spuštěnou službou Microsoft Internetová informační služba a vytvořit připojení pomocí protokolu Kerberos na server SQL Server 2000

Tato část popisuje, jak se připojit k serveru se systémem Internetová informační služba (IIS) na připojení pomocí protokolu Kerberos server, který je spuštěn SQL Server.

Poznámka:
Před provedením postupu instalace, stažení Kerbtray a SetSPN nástroje.

Chcete-li stáhnout nástroj Kerbtray, Následující Web společnosti Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID = 4e3a58be-29f6-49f6-85be-e866af8e7a88 & displaylang = cs
S Kerbtray.exe, můžete snadno ověřit nebo odebrat (nebo obojí) Lístky protokolu Kerberos žádné přidružené počítačů, které jsou používány.

Chcete-li stáhnout nástroj SetSPN, navštivte následující Web společnosti Server:
http://www.microsoft.com/downloads/details.aspx?FamilyID = 5fd831fd-ab77-46a3-9cfe-ff01d29e5c46 & displaylang = cs


Následující postup obsahuje příklad nastavení sekvence, kde použít ověřování protokolem Kerberos prostřednictvím stránky aplikace služby IIS pro přístup Server, který je spuštěn SQL Server.

Krok 1: Konfigurace řadiče domény

V řadiči domény Active Directory, uživatelé a počítače:
  1. Klepněte pravým tlačítkem myši na počítač, který chcete nastavit pro delegování (server služby IIS) a vyberte možnost Tato důvěryhodnost počítači pro delegování. Pokud je počítač se serverem SQL Server Co se zdá být poslední počítač kontaktovat, ale počítač má propojený Server, je nutné také uděleno oprávnění k delegování. Pokud není poslední musí být počítač v řetězu všech počítačů, které jsou zprostředkovatelé důvěryhodný pro delegování.
  2. Delegování oprávnění pro službu SQL Server účet uživatele domény. Musíte mít účet uživatele domény pro cluster Instalace serveru SQL Server (Tento krok není nutný pro počítače, které jsou spuštění serveru SQL Server pomocí účtu local system):
    1. V Uživatelé složky, klepněte pravým tlačítkem myši uživatelský účet a potom klepněte na tlačítko Vlastnosti.
    2. V dialogovém okně Vlastnosti účtu uživatele klepněte Účet na kartě.
    3. Ve skupinovém rámečku Možnosti účtu, zaškrtněte políčko na Účet je důvěryhodný pro delegování Zaškrtávací políčko. Ujistěte se, že že Účet je citlivý a nelze jej delegovat Kontrola políčka pro tento účet.

      Poznámka: "Účet je důvěryhodný pro delegování" právo je vyžadováno pro účet služby serveru SQL Server, pouze v případě, že vzdálený server SQL jako v případě dvojitých přesměrování jako distribuované dotazů (dotazy propojený server), které používají ověřování systému Windows jsou delegování pověření od cílového serveru SQL.
    Poznámka: Tento postup platí pouze pro systém Windows 2000 Server. Pokud používáte systém Windows Server 2003, navštivte následující Web společnosti Microsoft Developer Network (MSDN):
    http://technet2.microsoft.com/windowsserver/en/library/bef202b0-c8e9-4999-9af7-f56b991a4fd41033.mspx
  3. Použijte nástroj Kerbtray.exe k ověření, že protokol Kerberos lístky byly obdrženy od řadiče domény a hostitele:
    1. Klepněte pravým tlačítkem myši na ikonu Kerbtray v oznámení oblasti a potom klepněte na tlačítko Vymazat lístky.
    2. Počkejte, zelená ikona Kerbtray změnit ze zelené na žlutou. Jakmile k tomu dojde, otevřete okno příkazového řádku a spustit příkaz:
      net session * /d
      Tím přetáhněte existující relace a vynutit nové relace Zřizuje a lístek protokolu Kerberos obdržel.

Krok 2: Konfigurace serveru služby IIS

  1. Nahradit výchozí soubory webu Wwwroot vzorku soubory s příponou ASP. Chcete-li vytvořit ukázkové soubory ASP, použijte kód, který je k dispozici v v části "ASP test skript pro načítání dat serveru SQL Server".
  2. Přidáte soubor ke složce Wwwroot. Chcete-li to provést, použijte Ukázkový kód v části "ASP testovací skript pro SQL Server načtení dat". Uložte soubor jako Default.asp.
  3. Konfigurujte server WWW používat integrované ověřování systému Windows Pouze ověřování:
    1. Klepněte pravým tlačítkem myši na výchozí webový server a klepněte Zabezpečení složky.
    2. Ve složce zabezpečení změny správné, a Zrušte zaškrtnutí políčka anonymní přístup.
    3. Na příkazovém řádku zadejte následující příkaz:
      cscript C:\Inetpub\Adminscripts\adsutil.vbs get w3svc/NTAuthenticationProviders
      Pokud Vyjednat je povoleno, je vrácena následující:
       NTAuthenticationProviders : (STRING) Negotiate,NTLM
      Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
      215383Jak konfigurovat službu IIS na podporu protokolu Kerberos a protokolu NTLM pro ověřování v síti
    Poznámky
    • Microsoft Data Access (MDAC) 2.6 nebo novější, je nutné nainstalovat na na serveru služby IIS. Postup (a zpřístupnit nástroje pro klientské nástroje serveru SQL Server 2000 testování), nainstalujte na webový server. K instalovat pouze součásti MDAC 2.6 nebo vyšší (bez instalace klientské nástroje), navštivte Následující Web společnosti Microsoft:
      http://msdn2.microsoft.com/en-us/data/aa937730.aspx
    • Služba IIS je společný systém střední vrstvy. Služba IIS však není pouze střední vrstvy systému. Pokud služba IIS není v prostředí systému střední úroveň, postupujte vhodné pro váš systém střední úroveň.
  4. Ověřte, zda
    HKLM\SW\MS\MSSQLSERVER\Client\DSQUERY
    Hodnota registru. Pokud hodnota není zobrazena, přidejte jej jako
    DSQUERY:REG_SZ:DBNETLIB
    .
  5. Použijte nástroj Kerbtray.exe k ověření, že protokol Kerberos lístky byly obdrženy od řadiče domény a hostitele:
    1. Klepněte pravým tlačítkem myši na ikonu Kerbtray v oznamovací oblast, a potom klepněte na tlačítko Vymazat lístky.
    2. Počkejte, zelená ikona Kerbtray změnit ze zelené na žlutou. Jakmile k tomu dojde, otevřete okno příkazového řádku a spustit příkaz:
      net session * /d
      Tím přetáhněte existující relace a vynutit nové relace Zřizuje a lístek protokolu Kerberos obdržel.

Krok 3: Konfigurace služby SQL Server dynamicky vytvářet názvy SPN

Chcete-li to provést, je nutné udělit následující nastavení řízení přístupu pro účet služby serveru SQL Server v adresáři služby Active Directory:
  • Čtení servicePrincipalName
  • Zápis servicePrincipalName
Upozornění
  • Je-li pomocí modulu snap-in úpravy rozhraní ADSI (Active Directory Service Interfaces), nástroje LDP nebo klientů LDAP 3 a nesprávně upravíte atributy objektů služby Active Directory, dojít k vážným problémům. Chcete-li tyto problémy vyřešit, bude pravděpodobně třeba přeinstalování serveru Microsoft Exchange 2000 nebo 2003 Microsoft Exchange Server. V některých případech bude pravděpodobně třeba přeinstalovat systém Microsoft Windows 2000 Server nebo Microsoft Windows Server 2003 a potom znovu nainstalujte Exchange 2000 Server nebo 2003 Exchange Server. Nemůžeme zaručit, že tyto problémy mohou být přeloženy. Tyto atributy upravujete na vlastní riziko.
  • Musíte být přihlášeni jako správce domény. Také musíte požádat správce domény udělit příslušná oprávnění a příslušná uživatelská práva účtu při spuštění serveru SQL Server.
Chcete-li konfigurovat službu SQL Server dynamicky vytvářet názvy SPN při spuštění služby serveru SQL Server, postupujte takto:
  1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ Adsiedit.msca klepněte na tlačítko OK.

    Poznámka: Nástroj ADSIEdit je součástí nástrojů podpory systému Windows. Chcete-li získat nástroje podpory systému Windows, navštivte následující Web společnosti Microsoft:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=6EC50B78-8BE1-4E81-B3BE-4E7AC4F0912D&displaylang=en
  2. V modulu snap-in ADSI Edit rozbalte položku [DoményNázev_domény], rozbalte položku DC = RootDomainName, rozbalte položku CN = Users, klepněte pravým tlačítkem myši CN = Název_účtu a klepněte na tlačítko Vlastnosti.

    Poznámky
    • Název_domény je zástupný symbol pro název domény.
    • RootDomainName je zástupný symbol pro název kořenové domény.
    • Název_účtu je zástupný symbol pro účet, který zadáte-li spustit službu serveru SQL Server.
    • Zadáte-li spustit službu serveru SQL Server, místní systémový účet Název_účtu je zástupný symbol pro účet, který používáte k přihlášení k systému Microsoft Windows.
    • Zadáte-li uživatelský účet domény spustit službu serveru SQL Server Název_účtu je zástupný symbol pro účet uživatele domény.
  3. V CN = Název_účtu Vlastnosti Dialogové okno, klepněte Zabezpečení na kartě.
  4. V Zabezpečení karta, klepněte na tlačítko Upřesnit.
  5. V Upřesnit nastavení zabezpečení Dialogové okno pole, ujistěte se, že VLASTNÍ je uveden v části Položky oprávnění.

    Pokud VLASTNÍ je v seznamu není uveden, klepněte na tlačítko Přidata pak přidat. VLASTNÍ.
  6. Ve skupinovém rámečku Položky oprávnění, klepněte na tlačítko VLASTNÍa klepněte na tlačítko Upravit.
  7. V Položka oprávnění Dialogové okno, klepněte Vlastnosti na kartě.
  8. V Vlastnosti karta, klepněte na tlačítko Pouze tento objekt v Použít na seznam a potom klepnutím zaškrtněte políčka pro následující oprávnění podle Oprávnění:
    • Čtení servicePrincipalName
    • Zápis servicePrincipalName
  9. Klepněte na tlačítko OK dvakrát.

    Poznámka: Nápovědu pro tento proces obraťte se na odbornou pomoc služby Active Directory a uvést tento článek znalostní báze Microsoft Knowledge Base.

    Poznámka: Chcete-li použít nástroj dsacls k určení, zda má účet self oprávnění zapisovat ServicePrincipalName, použijte dsacls příkaz. Syntaxe je následující:
    dsacls <distinguished_Name_of_service_account>
    Pokud účet self oprávnění zapisovat ServicePrincipalName, zobrazí se následující výstup:
    Allow NT Authority\SELF SPECIAL ACCESS for Validated Write to Service principal name
    WRITE PROPERTY
    Nástroj dsacls je součástí nástrojů podpory.
  10. V CN = Název_účtu Vlastnosti Dialogové okno, klepněte na tlačítko Editor atributů.
  11. Ve skupinovém rámečku Atributy, klepněte na tlačítko servicePrincipalName v Atribut sloupec a potom klepněte na tlačítko Upravit.
  12. V Vícenásobného Editor řetězce dialogovém okně Odstranit zásadu názvy služeb (SPN) pro instance serveru SQL Server, které používají tento účet služby serveru SQL Server.

    Upozornění SPN byste měli odstranit pouze pro instance serveru SQL Server, které právě pracujete. Ostatních instancí serveru SQL Server, které používají tento účet služby, budete moci odebrat SPN, související s tyto instance při příštím spuštění těchto instancí.
  13. Ukončete modul snap-in pro úpravu rozhraní ADSI.
Po provedení těchto kroků, SPN problémy jsou také odstraněny, pokud změníte TCP/IP port nebo název domény pro nové instalace serveru SQL Server 2005 nebo existující instance serveru SQL Server 2005.

Krok 4: Konfigurovat klientské počítače

  1. Pro každého klienta, který se bude připojovat, ověřte, že Microsoft Aplikace Internet Explorer je konfigurována pomocí ověřování systému Windows:
    1. V aplikaci Internet Explorer na Nástrojenabídky, klepněte na tlačítko Možnosti Internetu.
    2. Klepněte Upřesnit na kartě.
    3. Ve skupinovém rámečku Zabezpečení, zaškrtněte políčko Povolit Integrované ověření systémem Windows (vyžaduje restartování), a potom klepněte na tlačítko OK.

Krok 5: Testování konfigurace

Pro každý počítač, který je zapojen:
  1. Přihlaste se k počítači a ověření pomocí Kerbtray.exe že počítač lze získat platný lístek protokolu Kerberos z domény řadič.
  2. Slouží k odebrání všech lístků na Kerbtray.exe počítač.
  3. Vytvoření a připojení k webové stránce, kterou vrátí příkaz SQL Data na serveru.

    Poznámka: Nahradit NÁZEV_SERVERU_SQL název počítač se serverem SQL Server:
    • Pokud je vrácena data, tato stránka zobrazí typ ověřování Vyjednata dat serveru SQL Server ve výsledku sp_helpdb uložené procedury, která by návratnost seznam databází server, který probíhá připojování k až.Stránky ASP.
    • Pokud je auditování zapnuto serveru SQL Server v Uvidíte, že připojení je "důvěryhodné" aplikačního protokolu.

Testovací skript ASP pro načítání dat serveru SQL Server

Zde je test skriptu ASP k datům serveru SQL Server. Používáte-li to Ukázka kódu, ujistěte se, že nahradit NÁZEV_SERVERU_SQL název počítače, který je spuštění serveru SQL Server.
<%@ Language=VBScript %>
<HTML>
<HEAD>
<META NAME="GENERATOR" Content="Microsoft Visual Studio 6.0">
</HEAD>
<BODY>
<%="'auth_user' is" & request.servervariables("auth_user")%>
<P>
<%="'auth_type' is" & request.servervariables("auth_type")%>
<P>
Connections string is <B>" Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=pubs;Data Source=SQLSERVERNAME </B>
<P>
<%
	set rs = Server.CreateObject("ADODB.Recordset")
	set cn = Server.CreateObject("ADODB.Connection")
	cn.Open "Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=pubs;Data Source=SQLSERVERNAME"
	rs.open "MASTER..sp_helpdb",cn
	Response.Write cstr(rs.Fields.Count) +"<BR>"
	while not rs.EOF
		Response.Write cstr(rs(0))+"<BR>"
		rs.MoveNext
	wend
	rs.Close
	cn.Close
	set rs = nothing ' Frees memory reserved by the recordset.
	set cn = nothing ' Frees memory reserved by the connection.
%>
</BODY>
</HTML>
					

Jak získat seznam zásada služby Active Directory serveru informace o názvu

Získat seznam hlavní název služby Active Directory serveru (SPN) informace naleznete na jednom z řadičů domény, zadejte následující příkaz kde betaland název domény pro rozhraní NetBIOS a NewoutputUsers.txt název výstupního souboru že použijete port výsledky. Pokud nepoužíváte úplné cesty k souboru je umístěn v aktuální složce, kde je spustit na příkazovém řádku. Tento vzorek příkaz se dotáže celé domény:
ldifde -d "CN = Uživatelé, DC =betaland"-l servicePrincipalName -F NewoutputUserstxt
Tato syntaxe vytvoří soubor s názvem NewoutputUsers.txt obsahující informace, který je podobný výstup na úrovni domény" v tomto článku část výstupu NewouputUsers.txt".

Může tento výstup být jednoznačná je shromáždit pro celou doménu. Proto k omezení shromážděné informace k určité uživatelské jméno, použijte následující syntaxi, kde Uživatelské jméno uživatelské jméno a betaland je-li hledané domény:
ldifde -d "CN =Uživatelské jménoDC =betaland"-l servicePrincipalName -F NewoutputUserstxt
Shromažďování informací pro určitého uživatele významně snižuje data, která musí prohledávat. Shromažďování informací pro celek vyhledat konkrétní uživatelské jméno na daném serveru domény. V Ukázkový výstup, uvidíte:
  • Pro servery, které již existují, ale která nebyla položky zcela odebrán ze služby Active Directory.
  • Uživatele"Uživatelské jméno"má platné Název SPN informace o deset různých serverů.
Navíc můžete použít služba Active Directory Interfaces (ADSI) nástroj k opravě položek služby Active Directory, které nejsou platné.

Upozornění Pokud používáte modul snap-in pro úpravu rozhraní ADSI, nástroj LDP nebo jakékoli jiné Klienta LDAP verze 3 a nesprávně upravíte atributy aktivní Objekty adresáře, můžete způsobit vážné problémy. Tyto problémy mohou vyžadovat. přeinstalaci systému Microsoft Windows 2000 Server, Microsoft Windows Server 2003 Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 nebo obě okna a serveru Exchange. Společnost Microsoft nemůže zaručit, že problémy, ke kterým dochází, pokud je nesprávně upravíte služby Active Directory, bude možné vyřešit atributy objektu. Upravit Tyto atributy na vlastní nebezpečí.

Úroveň výstupu domény NewouputUsers.txt

	dn: CN=User Name,CN=Users,DC=betaland
	changetype: add
	servicePrincipalName: MSSQLSvc/CLUSTERDEFAULT.betaland:1257
	servicePrincipalName: MSSQLSvc/INST3.betaland:3616
	servicePrincipalName: MSSQLSvc/INST2.betaland:3490
	servicePrincipalName: MSSQLSvc/SQLMAN.betaland:1433
	servicePrincipalName: MSSQLSvc/VSS1.betaland:1433
	servicePrincipalName: MSSQLSvc/INST1.betaland:2536
	servicePrincipalName: MSSQLSvc/INST4.betaland:3967
	servicePrincipalName: MSSQLSvc/SQLVIRTUAL1.betaland:1434
	servicePrincipalName: MSSQLSvc/SQLVIRTUAL.betaland:1433
	servicePrincipalName: MSSQLSvc/SQLBUSTER.betaland:1315

Odkazy

Další informace o zabezpečení účtu delegování naleznete v tématu v dokumentaci SQL Server Books Online v tématu "Zabezpečení účtu delegování".

Další informace získáte v následujícím článku zobrazení v článcích znalostní báze Microsoft Knowledge Base:
262177Jak povolit protokolování událostí protokolu Kerberos
321708 Použití nástroje Diagnostika sítě (Netdiag.exe) v systému Windows 2000
326985 Řešení problémů souvisejících s protokolem Kerberos ve službě IIS
244474 Vynucení protokolu Kerberos použití protokolu TCP místo protokolu UDP v systému Windows Server 2003, Windows XP a Windows 2000

Vlastnosti

ID článku: 319723 - Poslední aktualizace: 19. května 2011 - Revize: 24.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft SQL Server 2000 Standard Edition na těchto platformách
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2005 Workgroup Edition
Klíčová slova: 
kbinfo kbmt KB319723 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:319723

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com