Gewusst wie: Verwenden von Kerberos-Authentifizierung in SQL Server

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 319723 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Sie können mit Microsoft SQL Kerberos-Authentifizierung verwenden. Server 2000. SQL Server 2000 unterstützt diese Funktionalität im Rahmen eines typischen Microsoft Windows 2000 oder Microsoft Windows Server 2003 Active Directory-Domäne Installation. Mit Microsoft Windows 2000 Service Pack 3 (SP3) und Windows Server 2003 aktivieren Kerberos-Authentifizierung auf Serverclustern.

Weitere Informationen zu diesen zusätzlichen Funktionen, klicken Sie auf die folgende Artikelnummer klicken, um finden Sie in der Microsoft Knowledge Base:
235529Kerberos-Unterstützung auf Windows 2000-basierten Servercluster

Hinweis Sie können diese Funktionalität nur verwenden, wenn Windows ausgeführt wird 2000 SP3 oder WindowsServer 2003.

SQL Server 2000 Failover-Clusterunterstützung werden auch diese Funktion verwendet. Wenn das Netzwerk benennen Ressource, die SQL Server abhängig ist, wird in einem Windows 2000-basierten Cluster, Sie können Kerberos-Authentifizierung für die Ressource verwenden, nach der Aktualisierung der Computer auf Windows 2000 SP3 oder WindowsServer 2003. Installieren von SQL Server Failover-Clusterunterstützung, benötigen Sie Microsoft SQL Server 2000 Enterprise Edition oder Developer Edition installiert.

Hinweis Die Konzepte und Argumentationspunkte in diesem Artikel, die für SQL Server 2000 gelten gelten auch für SQL Server 2005. Weitere Informationen zu diesem Thema in SQL Server 2005 finden Sie unter die folgenden Themen in SQL Server 2005-Onlinedokumentation:
  • Vorgehensweise: Aktivieren der Kerberos-Authentifizierung, einschließlich SQL Server, virtuelle Server in Serverclustern
  • Registrierung von Dienstprinzipalnamen
Weitere Informationen dazu, wie Sie sicherstellen, dass Sie Kerberos-Authentifizierung in SQL Server 2005 verwenden klicken Sie auf die folgende Artikelnummer klicken, um den Artikel der Microsoft Knowledge Base anzuzeigen:
909801Gewusst wie: sicherstellen, dass Sie Kerberos-Authentifizierung verwenden, wenn Sie eine Remoteverbindung zu einer Instanz von SQL Server 2005 erstellen

Weitere Informationen

SQL Server können für Server Kerberos-Authentifizierung verwenden. Cluster. Sie können die Kerberos-Authentifizierung mit eigenständigen Computern verwenden, SQL Server ausgeführt werden oder mit SQL Server-Instanzen, die ausgeführt werden, auf eine virtueller Server.

Verbinden Sie mit einem Server mit Microsoft Internet-Informationsdienste und eine Kerberos-Verbindung zum SQL Server 2000

Dieser Abschnitt beschreibt die Verbindung zu einem Server, die ausgeführt wird Microsoft-Internetinformationsdienste (IIS) eine Kerberos-Verbindung zu machen. ein Server, auf dem SQL Server ausgeführt wird.

Hinweis
Bevor Sie das Setup-Verfahren durchführen, downloaden Sie das Kerbtray und das SetSPN-Dienstprogramme.

Um das Dienstprogramm Kerbtray herunterzuladen, besuchen Sie die folgende Microsoft-Website: Mit Kerbtray.exe, Sie leicht überprüfen oder entfernen können (oder beides) Kerberos-Tickets von einem beliebigen verbundenen Computer, die verwendet werden.

Downloaden Sie das SetSPN-Dienstprogramm finden Sie auf der folgenden Microsoft-Website Website:
http://www.Microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en


Das folgende Verfahren enthält ein Beispiel für ein setup Sequenz, in dem Sie die Kerberos-Authentifizierung über eine IIS-Seite verwenden, für den Zugriff auf, ein Server, SQL Server ausgeführt wird.

Schritt 1: Konfigurieren des Domänencontrollers

Auf einem Domänencontroller in Active Directory-Benutzer und Computer:
  1. Mit der rechten Maustaste des Computers, dem eingerichtet werden soll. Delegierung (IIS-Dienste-Server), und klicken Sie dann auf auswählen Dieses vertrauen Computer für Delegierungszwecke. Wenn der Computer, auf dem SQL Server ausgeführt wird scheinbar der letzte Computer kontaktiert, aber dieser Computer hat eine verknüpfte Server, muss er auch Delegierungsberechtigungen gewährt. Ist dies nicht der letzte Computer in der Kette müssen alle die zwischengeschalteten Computern sein. für die Delegierung vertrauenswürdig.
  2. Der SQL Server-Dienst die entsprechenden Delegierungsberechtigungen gewährt Konto-Domänenbenutzerkonto. Sie müssen ein Domänenbenutzerkonto, für Cluster (Dieser Schritt ist nicht erforderlich für Computer mit SQL Server-Installationen Ausführen von SQL Server, die ein lokales Systemkonto verwenden):
    1. In der Benutzer Ordner mit der rechten Maustaste die Benutzerkonto, und klicken Sie dann auf Eigenschaften.
    2. Klicken Sie im Dialogfeld Eigenschaften von Benutzer Konto auf der Konto Registerkarte.
    3. Klicken Sie unter Kontooptionen, klicken Sie auf Das Dialogfeld Konto ist für vertrauenswürdige Delegierung das Kontrollkästchen. Stellen Sie sicher die Konto ist vertraulich und kann nicht delegiert werden Überprüfen Sie für dieses Konto deaktiviert ist.

      Hinweis Das Recht 'Konto wird für Delegierungszwecke vertraut ' ist für das Dienstkonto von SQL Server erforderlich, nur, wenn Sie Anmeldeinformationen aus dem Ziel-SQL-Server an einen remote SQL Server z. B. in einem double-Hop-Szenario, wie verteilte Abfragen (verknüpfte Serverabfragen) delegieren, die Windows-Authentifizierung verwenden.
    Hinweis Diese Schritte gelten nur für Windows 2000 Server. Wenn Sie Windows Server 2003 verwenden, finden Sie auf der folgenden Microsoft Developer Network (MSDN)-Website:
    http://technet2.Microsoft.com/WindowsServer/en/Library/bef202b0-c8e9-4999-9af7-f56b991a4fd41033.mspx
  3. Verwenden Sie das Dienstprogramms "Kerbtray.exe", stellen Sie sicher, dass Kerberos Tickets wurden aus der Domain Controller und Host empfangen:
    1. Mit der rechten Maustaste des Kerbtray-Symbol in der Benachrichtigung Bereich, und klicken Sie dann auf Löschen von Tickets.
    2. Warten Sie auf das grüne Kerbtray-Symbol von Grün zu ändern in Gelb. Wie in diesem Fall öffnen Sie ein Eingabeaufforderungsfenster, und führen Sie diese Befehl:
      NET Session * / d
      Dadurch wird die vorhandenen Sitzungen und eine neue Sitzung zu erzwingen hergestellt werden und ein Kerberos-Ticket empfangen.

Schritt 2: Konfigurieren des IIS-Dienste-Servers

  1. Ersetzen Sie die standardmäßige Website "Wwwroot"-Dateien mit der Probe ASP-Dateien. Um die ASP-Beispieldateien zu erstellen, verwenden Sie den Code, der im bereitgestellt wird der Abschnitt "ASP-Testskript für den Datenabruf von SQL Server".
  2. Fügen Sie die Datei in den Ordner "Wwwroot". Verwenden Sie hierzu die Der Beispielcode im Abschnitt "ASP Test-Skript für SQL Server abrufen von Daten". Speichern Sie die Datei als "default.asp".
  3. Konfigurieren Sie den Webserver so verwenden Sie die integrierte Windows neu. Authentifizierung:
    1. Mit der rechten Maustaste des Standardwebserver, und klicken Sie dann auf die Ordner "Sicherheit".
    2. Stellen Sie die Änderungen korrekten in den Ordner Sicherheit und Klicken Sie dann auf Deaktivieren Anonyme Anmeldung.
    3. Führen Sie an einer Eingabeaufforderung folgenden Befehl ein:
      Cscript C:\Inetpub\Adminscripts\adsutil.vbs abrufen W3SVC/NTAuthenticationProviders
      Wenn Negotiate aktiviert ist, wird Folgendes zurückgegeben:
       NTAuthenticationProviders : (STRING) Negotiate,NTLM
      Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      215383Gewusst wie: Konfigurieren von IIS, um das Kerberos-Protokoll und das NTLM-Protokoll für Netzwerkauthentifizierung zu unterstützen
    Hinweise
    • Sie müssen Microsoft Data Access (MDAC) 2.6 oder höher, installieren der IIS-Dienste-Server. Dazu (und die Tools zur Verfügung Testing), installieren Sie die SQL Server 2000-Clienttools auf dem Webserver. An Installieren Sie MDAC 2.6 oder höher (ohne die Clienttools), finden Sie auf die folgende Microsoft-Website:
      http://msdn2.Microsoft.com/en-US/Data/aa937730.aspx
    • IIS ist ein gemeinsames System für die mittlere Ebene. IIS ist jedoch nicht das System nur Zwischenebene. Wenn IIS nicht Zwischenebene in Ihrer Umgebung ist, befolgen Sie die entsprechenden Schritte für Ihr System der mittleren Ebene.
  4. Stellen Sie sicher, dass die
    HKLM\SW\MS\MSSQLSERVER\Client\DSQUERY
    Wert ist in der Registrierung vorhanden. Wenn der Wert nicht angezeigt wird, fügen Sie es als
    DSQUERY:Reg_SZ:DBNETLIB
    .
  5. Verwenden Sie das Dienstprogramms "Kerbtray.exe", stellen Sie sicher, dass Kerberos Tickets wurden aus der Domain Controller und Host empfangen:
    1. Mit der rechten Maustaste in des Kerbtray-Symbol im Infobereich angezeigt, und klicken Sie dann auf Löschen von Tickets.
    2. Warten Sie auf das grüne Kerbtray-Symbol von Grün zu ändern in Gelb. Wie in diesem Fall öffnen Sie ein Eingabeaufforderungsfenster, und führen Sie diese Befehl:
      NET Session * / d
      Dadurch wird die vorhandenen Sitzungen und eine neue Sitzung zu erzwingen hergestellt werden und ein Kerberos-Ticket empfangen.

Schritt 3: Konfigurieren des SQL Server-Dienstes zum Erstellen von SPNs dynamisch

Zu diesem Zweck müssen Sie die folgenden Zugriffskontrolleinstellungen für das SQL Server-Dienstkonto in Active Directory-Verzeichnisdienst gewähren:
  • Read servicePrincipalName
  • ServicePrincipalName schreiben
Warnungen
  • Wenn Sie das Active Directory Service Interfaces (ADSI) Edit-Snap-in, das LDP-Dienstprogramm oder LDAP 3-Clients verwenden und die Attribute von Active Directory-Objekten falsch ändern, treten schwerwiegende Probleme auf. Um diese Probleme zu beheben, müssen Sie möglicherweise Microsoft Exchange 2000 Server oder Microsoft Exchange Server 2003 neu installieren. In einigen Fällen müssen Sie möglicherweise Microsoft Windows 2000 Server oder Microsoft Windows Server 2003 erneut installieren und Neuinstallieren von Exchange 2000 Server oder Exchange Server 2003. Wir können nicht garantieren, dass diese Probleme behoben werden können. Ändern dieser Attribute erfolgt auf eigene Gefahr.
  • Sie müssen als Domänenadministrator angemeldet sein. Alternativ fordern Sie Ihren Domänenadministrator bitten, die entsprechenden Berechtigungen und SQL Server-Startkonto die entsprechenden Benutzerrechte erteilen.
Konfigurieren Sie den SQL Server-Dienst, um die SPNs dynamisch zu erstellen, wenn der SQL Server-Dienst gestartet wird, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ "Adsiedit.msc", und klicken Sie dann auf OK.

    Hinweis Das Tool ADSIEdit ist in der Windows-Supporttools enthalten. Um die Windows-Supporttools zu erhalten, finden Sie auf der folgenden Microsoft-Website:
    http://www.Microsoft.com/downloads/details.aspx?FamilyID=6EC50B78-8BE1-4E81-B3BE-4E7AC4F0912D&displaylang=en
  2. Erweitern Sie in das ADSI Edit Snap-in Domain [Domänenname], erweitern Sie DC = Stammdomänenname, erweitern Sie CN = Benutzer, mit der rechten Maustaste CN = Kontoname , und klicken Sie dann auf Eigenschaften.

    Hinweise
    • Domänenname ist ein Platzhalter für den Namen der Domäne.
    • Stammdomänenname ist ein Platzhalter für den Namen der Stammdomäne.
    • Kontoname ist ein Platzhalter für das Konto, das Sie zum Starten des SQL Server-Dienstes angeben.
    • Wenn Sie das lokale Systemkonto zum Starten des SQL Server-Dienstes angeben, Kontoname ist ein Platzhalter für das Konto, das Sie verwenden, um Microsoft Windows anmelden.
    • Wenn Sie ein Domänenbenutzerkonto zum Starten des SQL Server-Dienstes angeben, Kontoname ist ein Platzhalter für das Domänenbenutzerkonto.
  3. In der CN = Kontoname Eigenschaften Klicken Sie im Dialogfeld klicken Sie auf die Sicherheit Registerkarte.
  4. Auf der Sicherheit Registerkarte, klicken Sie auf Erweiterte.
  5. In der Erweiterte Sicherheitseinstellungen Dialog box, stellen Sie sicher, dass SELBST ist unter aufgeführt. Berechtigungseinträge.

    If SELBST ist nicht aufgeführt, klicken Sie auf Hinzufügen, und klicken Sie dann auf Hinzufügen SELBST.
  6. Klicken Sie unter Berechtigungseinträge, klicken Sie auf SELBST, und klicken Sie dann auf Bearbeiten.
  7. In der Berechtigungseintrag Klicken Sie im Dialogfeld klicken Sie auf die Eigenschaften Registerkarte.
  8. Auf der Eigenschaften Registerkarte, klicken Sie auf Nur dieses Objekt Klicken Sie im Dialogfeld Übernehmen Liste und klicken Sie auf die Kontrollkästchen für die folgenden Berechtigungen unter Berechtigungen:
    • Read servicePrincipalName
    • ServicePrincipalName schreiben
  9. Klicken Sie auf OK zwei Mal.

    Hinweis Hilfe bei diesem Prozess sich an den Active Directory-Produktsupport, und erwähnen Sie dieser Microsoft Knowledge Base-Artikel.

    Hinweis Um das Dsacls-Tool verwenden, um festzustellen, ob das Konto Self die Berechtigung Schreiben ServicePrincipalName verfügt, verwenden Sie Dsacls -Befehl. Die Syntax lautet:
    dsacls <distinguished_Name_of_service_account>
    Wenn das Konto Self die Berechtigung Schreiben ServicePrincipalName verfügt, sehen Sie die folgende Ausgabe:
    Allow NT Authority\SELF SPECIAL ACCESS for Validated Write to Service principal name
    WRITE PROPERTY
    Dsacls-Tool ist Bestandteil der Supporttools.
  10. In der CN = Kontoname Eigenschaften Klicken Sie im Dialogfeld klicken Sie auf Attribut-Editor.
  11. Klicken Sie unter Attribute, klicken Sie auf servicePrincipalName Klicken Sie im Dialogfeld Attribut Spalte, und klicken Sie dann auf Bearbeiten.
  12. In der Mehrwertige Zeichenfolgen-Editor Dialog box, entfernen Sie die Dienstprinzipalnamen (SPN) für die Instanzen von SQL Server, die diese SQL Server-Dienstkonto verwenden.

    Warnung Löschen Sie die SPN nur für die Instanzen von SQL Server, denen Sie gerade arbeiten. Die anderen Instanzen von SQL Server, die diesem Dienstkonto verwenden werden möglicherweise die SPNs zu entfernen, die auf diese Instanzen das nächste Mal verbunden sind, dass diese Instanzen zu starten.
  13. Beenden Sie das ADSI Edit-Snap-in.
Nachdem Sie diese Schritte sind SPN-bezogene Probleme ebenfalls beseitigt, wenn Sie den TCP/IP-Port oder den Domänennamen für neue Installationen von SQL Server 2005 oder für vorhandene Instanzen von SQL Server 2005 ändern.

Wichtig: Es wird empfohlen, dass Sie nicht WriteServicePrincipalName Recht auf das SQL-Dienstkonto gewähren, wenn die folgenden Bedingungen erfüllt sind:
  • Mehrere Domänencontroller sind vorhanden.
  • SQL Server-Cluster ist.
In diesem Szenario kann der SPN für den SQL Server aufgrund der Wartezeit im Active Directory-Replikation gelöscht werden. Dadurch können Konnektivitätsprobleme zu SQL Server-Instanz.

Genommen Sie an, Sie über Folgendes verfügen:
  • Eine virtuelle SQL-Instanz mit dem Namen Cluster mit zwei Knoten: Knoten A und Knoten B.
  • Knoten A ist von Domänencontroller A authentifiziert und Knoten B von Domänencontroller b authentifiziert


Folgendes kann auftreten:
  1. Die Cluster-Instanz auf Knoten A aktiv ist und registriert SQL SPN im Domänencontroller A beim Start einrichten...
  2. Die Instanz Sqlcluster Failover auf Knoten B Wenn Knoten A normal heruntergefahren wird.
  3. Die Cluster-Instanz aufgehoben ihren SPN von Domänencontroller A während des Herunterfahrens auf Knoten a
  4. Der SPN wird von Domänencontroller A entfernt, aber die Änderung wurde noch nicht auf Domänencontroller b repliziert
  5. Wenn auf Knoten B zu starten, versucht die Cluster-Instanz zur Registrierung des SQL-SPN mit Domänencontroller B. Da der SPN noch vorhanden ist Knoten B registriert den SPN nicht.
  6. Nach einiger Zeit wird von Domänencontroller A das Löschen des SPN (aus Schritt 3) auf Domänencontroller B als Teil der Active Directory-Replikation repliziert. Das Endergebnis ist, dass kein gültiger SPN für den SQL-Instanz in der Domäne vorhanden ist und daher Sie Verbindungsprobleme auf die Cluster-Instanz sehen.

Hinweis Dieses Problem wurde in SQL Server 2012 behoben.


Schritt 4: Konfigurieren der Clientcomputer

  1. Jeder Client, der eine Verbindung herstellt, stellen Sie sicher, dass Microsoft Internet Explorer ist so konfiguriert, dass die Windows-Authentifizierung verwenden:
    1. In InternetExplorer auf die ToolsMenü, klicken Sie auf Internetoptionen.
    2. Klicken Sie auf die Erweiterte Registerkarte.
    3. Klicken Sie unter Sicherheit, klicken Sie auf Integrierte Windows-Authentifizierung aktivieren (Neustart erforderlich), , und klicken Sie dann auf OK.

Schritt 5: Testen der Konfigurations

Für jeden Computer, die beteiligt ist:
  1. Melden Sie sich bei dem Computer, und verwenden Sie Kerbtray.exe überprüfen der Computer aus der Domäne ein gültiges Kerberos-Ticket erhalten können Controller.
  2. Verwenden Sie Kerbtray.exe, entfernen Sie alle Tickets auf der Computer.
  3. Erstellen und Verbinden mit der Webseite, die die SQL zurückgibt Server-Daten.

    Hinweis Ersetzen Sie SQLSERVERNAME mit dem Namen des der Computer, auf dem SQL Server ausgeführt wird:
    • Diese Seite wird angezeigt, wenn Daten zurückgegeben werden, die Authentifizierungstyp Negotiateund die SQL Server-Daten für das Ergebnis der Sp_helpdb gespeicherten Prozedur, die eine Liste der Datenbanken auf zurückgeben soll der Server, die eine Verbindung über die.ASP-Seite.
    • Haben Sie die Überwachung aktiviert in SQL Server in der Anwendungsprotokoll sehen Sie, dass die Verbindung "vertrauenswürdig" ist.

ASP-Testskript für den Datenabruf von SQL Server

Hier wird eine ASP-Testskript für SQL Server-Daten. Wenn Sie diese verwenden Code-Beispiel, stellen Sie sicher, dass Sie ersetzen SQLSERVERNAME mit dem Namen des Computers ein Ausführen von SQL Server.
<%@ Language=VBScript %>
<HTML>
<HEAD>
<META NAME="GENERATOR" Content="Microsoft Visual Studio 6.0">
</HEAD>
<BODY>
<%="'auth_user' is" & request.servervariables("auth_user")%>
<P>
<%="'auth_type' is" & request.servervariables("auth_type")%>
<P>
Connections string is " Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=pubs;Data Source=SQLSERVERNAME 
<P>
<%
	set rs = Server.CreateObject("ADODB.Recordset")
	set cn = Server.CreateObject("ADODB.Connection")
	cn.Open "Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=pubs;Data Source=SQLSERVERNAME"
	rs.open "MASTER..sp_helpdb",cn
	Response.Write cstr(rs.Fields.Count) +"<BR>"
	while not rs.EOF
		Response.Write cstr(rs(0))+"<BR>"
		rs.MoveNext
	wend
	rs.Close
	cn.Close
	set rs = nothing ' Frees memory reserved by the recordset.
	set cn = nothing ' Frees memory reserved by the connection.
%>
</BODY>
</HTML>
					

Wie Sie eine Liste der Active Directory-Server-Prinzip sammeln Namensinformationen

Um eine Liste der Active Directory-Server-Dienstprinzipalnamen (SPN) zu sammeln. Informationen, geben Sie folgenden Befehl auf einem Domänencontroller wo Betaland ist der NetBIOS-Domänenname und Dienstprinzipalnamen anzuzeigen ist der Name der Ausgabedatei die Verwendung von werden die Ergebnisse zu portieren. Wenn Sie einen vollständigen Pfad der Datei nicht verwenden wird im aktuellen Ordner platziert, in dem Sie die Befehlszeile ausführen. In diesem Beispiel Befehl fragt die gesamte Domäne:
LDIFDE-d "CN = Users, DC =Betaland"ServicePrincipalName -l -F NewoutputUsersTXT
Diese Syntax erstellt eine Datei mit dem Namen enthält Informationen, die die Ausgabe auf der Domänenebene"ähnlich ist Ausgabe von "NewouputUsers.txt" auf"Abschnitt in diesem Artikel.

Diese Ausgabe kann verwirrend sein, wenn Sie für eine ganze Domäne zu sammeln. Aus diesem Grund bis zur Grenze der gesammelten Informationen zu einem bestimmten Benutzernamen verwenden Sie die folgende Syntax, wobei Benutzername ist der Benutzername und Betaland ist die Domäne, die Sie Abfragen:
LDIFDE-d "CN =BenutzernameDC =Betaland"ServicePrincipalName -l -F NewoutputUsersTXT
Sammeln der Informationen für ein bestimmten Benutzer erheblich reduziert die Daten, denen Sie durchsuchen müssen. Wenn Sie die Informationen für eine gesamte abrufen Suchen Sie nach den speziellen Benutzernamen von der betreffende Server-Domäne. In der Beispielausgabe angezeigt:
  • Einträge für Server, die nicht mehr vorhanden ist, aber, die Waren nicht vollständig entfernt aus Active Directory.
  • Der Benutzer"Benutzername"ist ungültig SPN-Informationen über zehn verschiedene Server.
Darüber hinaus können Sie die Active Directory-Dienst verwenden. Schnittstellen (ADSI) Tool zur Behebung von Active Directory-Einträge, die nicht gültig sind.

Warnung Wenn Sie das ADSI Edit-Snap-in, das LDP-Dienstprogramm oder jede andere verwenden LDAP-Client Version 3 und fälschlicherweise die Attribute von Active ändern Directory-Objekte, schwerwiegende Probleme verursacht werden können. Diese Probleme erfordern möglicherweise Sie können Microsoft Windows 2000 Server, Microsoft Windows Server 2003 neu installieren, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 oder sowohl Windows und Exchange. Microsoft kann nicht garantieren, dass Probleme, die auftreten, wenn Sie Ändern Sie Active Directory-Objektattribute herrühren, behoben werden können nicht ordnungsgemäß. Ändern dieser Attribute erfolgt auf eigene Gefahr.

Ausgabe auf Domänenebene NewoutputUsers.txt

	dn: CN=User Name,CN=Users,DC=betaland
	changetype: add
	servicePrincipalName: MSSQLSvc/CLUSTERDEFAULT.betaland:1257
	servicePrincipalName: MSSQLSvc/INST3.betaland:3616
	servicePrincipalName: MSSQLSvc/INST2.betaland:3490
	servicePrincipalName: MSSQLSvc/SQLMAN.betaland:1433
	servicePrincipalName: MSSQLSvc/VSS1.betaland:1433
	servicePrincipalName: MSSQLSvc/INST1.betaland:2536
	servicePrincipalName: MSSQLSvc/INST4.betaland:3967
	servicePrincipalName: MSSQLSvc/SQLVIRTUAL1.betaland:1434
	servicePrincipalName: MSSQLSvc/SQLVIRTUAL.betaland:1433
	servicePrincipalName: MSSQLSvc/SQLBUSTER.betaland:1315

Informationsquellen

Weitere Informationen zur Delegierung von Sicherheitskonten finden Sie unter das Thema "Delegierung von Sicherheitskonten" in der SQL Server-Onlinedokumentation.

Weitere Informationen finden Sie die folgenden Artikelnummern um die Artikel der Microsoft Knowledge Base anzuzeigen:
262177Aktivieren der Kerberos-Ereignisprotokollierung
321708 Gewusst wie: Verwenden Sie das Netzwerkdiagnosetool (Netdiag.exe) in Windows 2000
326985 Gewusst wie: Behandeln von Kerberos-Problemen in IIS
244474 Gewusst wie: Kerberos zwingen, TCP anstelle von UDP in Windows Server 2003, Windows XP und Windows 2000 verwenden

Eigenschaften

Artikel-ID: 319723 - Geändert am: Sonntag, 7. April 2013 - Version: 2.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2000 Standard Edition, wenn verwendet mit:
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2005 Workgroup Edition
Keywords: 
kbinfo kbmt KB319723 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 319723
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com