Microsoft SQL Server 2000, Kerberos kimlik doğrulamasını kullanabilirsiniz. SQL Server 2000, normal bir Microsoft Windows 2000 veya Microsoft Windows Server 2003 Active Directory etki alanı yüklemenin bir parçası olarak bu işlevi destekler. Microsoft Windows 2000 Service Pack 3 (SP3) ve Windows Server 2003, sunucu kümelerinde Kerberos kimlik doğrulamasını etkinleştirebilirsiniz.
Bu işlevler hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
235529
(http://support.microsoft.com/kb/235529/
)
Windows 2000 tabanlı sunucu kümelerinde Kerberos desteği
Not Yalnızca Windows 2000 SP3 veya Windows Server 2003 çalıştırıyorsanız, bu işlevi kullanabilirsiniz.
SQL Server 2000 başarısızlık küme hizmeti bu işlevi de kullanır. Bilgisayar Windows 2000 SP3'te veya Windows Server 2003'e yükselttikten sonra Windows 2000 tabanlı bir kümede SQL Server bağlı olan bir kaynak olan ağ adı, Kerberos kimlik doğrulamasını kaynağı kullanabilirsiniz. SQL Server'ı yüklemek için Kümelendirme, başarısızlık, SQL Server 2000 Enterprise Edition veya Developer Edition yüklenmiş olmalıdır.
Not Kavramlar ve SQL Server 2000 için geçerli olan tüm tartışmaları bu makalede, SQL Server 2005 için de geçerlidir. SQL Server 2005'te, bu konu hakkında daha fazla bilgi için SQL Server 2005 Books Online'da aşağıdaki konulara bakın:
- Nasıl: SQL Server sunucu kümeleri sanal sunucularda da dahil, Kerberos kimlik doğrulamasını etkinleştir
- Hizmet asıl adı'nın kayıt
SQL Server 2005'te Kerberos kimlik doğrulamasını kullanarak emin olma hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
909801
(http://support.microsoft.com/kb/909801/
)
Nasıl yapılır: SQL Server 2005 örneği için uzak bağlantı oluşturduğunuzda, Kerberos kimlik doğrulamasını kullandığınızdan emin olun
SQL Server, sunucu kümeleri için Kerberos kimlik doğrulamasını kullanabilirsiniz. SQL Server çalıştıran tek başına bilgisayarlar veya sanal sunucuda çalışan SQL Server örnekleri, Kerberos kimlik doğrulamasını kullanabilirsiniz.
Microsoft ınternet ınformation Services çalıştıran bir sunucuya bağlanın ve SQL Server 2000'e bir Kerberos bağlantısı
Bu bölüm, bir SQL Server çalıştıran bir sunucuda Kerberos bağlantı kurmak için Microsoft ınternet ınformation Services (IIS) çalıştıran bir sunucuya bağlanmak açıklamaktadır.
Not Kurulum yordamı uygulamadan önce Kerbtray ve SetSPN yardımcı programları karşıdan yükleyin.
Kerbtray yardımcı programı'nı karşıdan yüklemek için aşağıdaki Microsoft Web sitesini ziyaret edin:
Kerbtray.exe ile kolayca doğrulayın veya başka (veya her ikisini birden) herhangi bir ilişkilendirilmiş kullanılan bilgisayarların, Kerberos biletleri.
SetSPN yardımcı programı'nı karşıdan yüklemek için aşağıdaki Microsoft Web sitesini ziyaret edin:
Aşağıdaki yordam, burada bir IIS sayfası üzerinden Kerberos kimlik doğrulaması SQL Server çalıştıran bir sunucuya erişmek için kullandığınız bir kurulum sırasında bir örnek sağlar.
1. Adım: etki alanı denetleyicisinde yapılandırma
Bir etki alanı denetleyicisinde, Active Directory Kullanıcıları ve Bilgisayarları'nda:
- Bilgisayara temsilcilik (IIS Hizmetleri sunucusu) için ayarlamak istediğiniz ve sonra Bu bilgisayara temsilci seçmek için güven seçmek için tıklatın</a1> sağ tıklatın. SQL Server çalıştıran bilgisayarın en son bilgisayar bağlantı gibi görünen olup olmadığını, ancak bağlantılı bir sunucu bilgisayar varsa, bunu gerekir, ayrıca temsilci izinlerine sahip. Zincirdeki son bilgisayar değilse, aracılar tüm bilgisayarların temsilci seçme için güvenilir olmalıdır.
- SQL Server hizmet hesabının etki alanı kullanıcı hesabı için temsilci seçme izni verin. (Bu adım yerel sistem hesabı kullanan SQL Server çalıştıran bilgisayarlar için gerekli değildir) bir etki alanı kullanıcı hesabı için Kümelendirilmiş SQL Server kurulumlarının olmalıdır:
- Kullanıcılar klasörü, kullanıcı hesabını sağ tıklatın ve sonra da Properties ' i tıklatın.
- Kullanıcı hesabının Özellikler iletişim kutusunda, Hesap sekmesini tıklatın.
- Hesap seçenekleri altında tıklatarak seçin hesabı için güvenilen temsilcisi onay kutusu. Bu hesap için Hesap duyarlı ve temsilci seçilemez onay kutusu temizlenmiş olduğundan emin olun.
Not Yalnızca, kimlik bilgileri hedef SQL sunucusundan Windows kimlik doğrulaması kullanan dağıtılmış sorgular (sunucunun sorguları) gibi çift sıçrama senaryosunda gibi uzak bir SQL sunucusuna yetkilendirirken 'Hesap, temsilci seçme için güvenilir' için SQL Server hizmet hesabının gerekli hakkıdır.
Not Bu adımlar yalnızca Windows 2000 Server için geçerlidir. Windows Server 2003 kullanıyorsanız, aşağıdaki Microsoft Developer Network (MSDN) Web sitesini ziyaret edin: - Doğrulamak için Kerbtray.exe yardımcı programını kullanın, bir Kerberos biletleri alınan etki alanı denetleyicisini ve ana bilgisayar:
- Bildirim alanında Kerbtray simgesini sağ tıklatın ve sonra da <a2>biletleri Temizle</a2>'ı tıklatın.
- Yeşil Kerbtray simge yeşilden için sarı değiştirmek bekleyin. Böyle hemen sonra bir komut istemi penceresi açın ve bu komutu çalıştırın:
net session * /d
Bu varolan oturumları bırakın ve kurulabilmesi için yeni bir oturum ve Kerberos bileti aldı.
2. Adım: IIS Hizmetleri yapılandırın
- Varsayılan Web sitesi Wwwroot dosyaları örnek .asp dosyaları ile değiştirin. Örnek .asp dosyalarını oluşturmak için <a0></a0>, "ASP komut dosyası SQL Server veri alma için sınama" bölümünde sağlanan kodu kullanın.
- Dosyayı Wwwroot klasörüne ekleyin. Bunu yapmak için <a0></a0>, "ASP sınama komut dosyası için SQL Server veri alma" bölümündeki örnek kodu kullanma. Dosyayı default.asp kaydedin.
- Tümleşik Windows kullanmak için Web sunucusu yeniden yapılandırın yalnızca kimlik doğrulaması:
- Varsayılan Web sunucusu'ı sağ tıklatın ve sonra güvenlik klasörü tıklatın.
- Güvenlik klasöründe doğru değişiklikleri yapın ve Anonim erişim temizlemek için tıklatın.
- Bir komut isteminden, bu komutu çalıştırın:
<a1>cscript</a1> C:\Inetpub\Adminscripts\adsutil.vbs w3svc/NTAuthenticationProviders alın
Anlaşma etkinse, aşağıdaki döndürülür: NTAuthenticationProviders : (STRING) Negotiate,NTLM
215383
(http://support.microsoft.com/kb/215383/
)
IIS, Kerberos iletişim kuralı hem de NTLM iletişim kuralı için ağ kimlik doğrulamasını destekleyecek şekilde yapılandırma hakkında
Notları- IIS Hizmetleri sunucu üzerinde Microsoft Data Access (MDAC) 2.6 veya sonraki sürümünü yüklemeniz gerekir. Bunu yapmak için (ve sınama araçları kullanabilmek için), Web sunucusuna istemci araçları SQL Server 2000'i yükleyin. MDAC 2.6 yüklemek veya daha yenisi (istemci araçlarını yüklemeden), aşağıdaki Microsoft Web sitesini ziyaret edin için:
- IIS, bir ortak orta bağlayıcıda sistemidir. Ancak, IIS yalnızca orta bağlayıcıda sistemi değildir. IIS, orta bağlayıcıda Sistem ortamındaki değilse, orta bağlayıcıda sisteminiz için uygun adımları izleyin.
- Doğrulayın
HKLM\SW\MS\MSSQLSERVER\Client\DSQUERY
değeri kayıt defterinde yok. Değer görüntülenmemişse, onu DSQUERY:Reg_SZ:DBNETLIB
ekleyin. - Doğrulamak için Kerbtray.exe yardımcı programını kullanın, bir Kerberos biletleri alınan etki alanı denetleyicisini ve ana bilgisayar:
- Bildirim alanında Kerbtray simgesini sağ tıklatın ve sonra da <a2>biletleri Temizle</a2>'ı tıklatın.
- Yeşil Kerbtray simge yeşilden için sarı değiştirmek bekleyin. Böyle hemen sonra bir komut istemi penceresi açın ve bu komutu çalıştırın:
net session * /d
Bu varolan oturumları bırakın ve kurulabilmesi için yeni bir oturum ve Kerberos bileti aldı.
3. Adım: SPN dinamik olarak oluşturmak için SQL Sunucu hizmetini yapılandırma
Bunu yapmak için <a0></a0>, SQL Server hizmet hesabının Active Directory dizin hizmeti içinde aşağıdaki erişim denetim ayarlarını vermeniz gerekir:
- ServicePrincipalName okunamıyor.
- ServicePrincipalName yazma
Uyarılar- Active Directory Hizmet Arabirimleri (ADSI) Düzenleme ek bileşenini, LDP yardımcı programını veya LDAP 3 istemcilerinin kullandığınız ve Active Directory nesnelerinin özniteliklerini hatalı olarak değiştirirseniz, ciddi sorunlar oluşur. Bu sorunları gidermek için <a0></a0>, Microsoft Exchange 2000 Server veya Microsoft Exchange Server 2003'nı yeniden yüklemeniz gerekebilir. Bazı durumlarda, Microsoft Windows 2000 Server veya Microsoft Windows Server 2003 yeniden yükleyin ve Exchange 2000 Server veya Exchange Server 2003 yeniden başlatmanız gerekebilir. Biz bu sorunların çözülebileceğini garanti etmemektedir. Bu öznitelikleri değiştirmek kendi sorumluluğunuzdadır.
- Etki alanı yöneticisi olarak oturum açmış olmalısınız. Alternatif olarak, uygun izinlere ve SQL Server başlangıç hesap için uygun kullanıcı haklarını vermek için etki alanı yöneticiniz istemeniz gerekir.
SQL Server hizmeti başlatıldığında SPN dinamik olarak oluşturmak için SQL Server hizmetini yapılandırmak için şu adımları izleyin:
- Başlat ' ı tıklatın, Çalıştır ' ı tıklatın, Adsiedit.msc yazın ve Tamam ' ı tıklatın.
Not Adsıedit aracını Windows Destek Araçları'nda bulunur. Windows Destek Araçları'nı edinmek için aşağıdaki Microsoft Web sitesini ziyaret edin: - <a1>Domain</a1> [DomainName] farklı ADSI Düzenleyicisi ek bileşeninde, sırasıyla, DC RootDomainName =, genişletin CN = Kullanıcılar =, sağ CN AccountName = ve sonra da Özellikler ' i tıklatın.
Notları- DomainNameetki alanı adını yertutucusudur.
- RootDomainNamekök etki alanı adını yertutucusudur.
- AccountNameSQL Server hizmetini başlatmak için belirttiğiniz hesaba yertutucusudur.
- SQL Sunucu hizmetini başlatmak için yerel sistem hesabının belirtirseniz, AccountName Microsoft Windows'a oturum açmak için kullandığınız hesabın bir yertutucudur.
- SQL Sunucu hizmetini başlatmak için bir etki alanı kullanıcı hesabı belirtmeniz durumunda, AccountName etki alanı kullanıcı hesabı için bir yertutucudur.
- Içinde CN AccountName özellikleri = iletişim kutusunda, Güvenlik sekmesini tıklatın.
- Güvenlik sekmesinde, Gelişmiş ' i tıklatın.
- Gelişmiş güvenlik ayarları iletişim kutusunda, SELFizin girdileri listelendiğinden emin olun.
SELF listeleniyorsa, Ekle ' yi tıklatın ve sonra da SELF ekleyin. - Izin girdileri altında SELF ' ı tıklatın ve sonra da <a2>Düzenle</a2>'yi tıklatın.
- Izin girdisi iletişim kutusunda, Özellikler sekmesini tıklatın.
- Özellikler sekmesindeki Uygula</a0> listesinde yalnızca bu nesne ' ı tıklatın ve sonra izinleri aşağıdaki izinleri için onay kutularını seçmek için tıklatın:
- Okuma servicePrincipalName
- ServicePrincipalName yazma
- Iki kez Tamam ' ı tıklatın.
Not Bu işlem hakkında Yardım, Active Directory ürün desteğine başvurun ve bu Microsoft Bilgi Bankası makalesi belirtmeyin.
Not Self hesabının Write ServicePrincipalName izni olup olmadığını belirlemek için dsacls aracını kullanmak için dsacls komutunun Ek Yardım düğmesini kullanın. Sözdizimi aşağıdaki gibidir: dsacls <distinguished_Name_of_service_account>
Allow NT Authority\SELF SPECIAL ACCESS for Validated Write to Service principal name
WRITE PROPERTY
- Içinde CN AccountName özellikleri = iletişim kutusunda, Öznitelik Düzenleyicisi ' ni tıklatın.
- Öznitelikleri altında <a0>öznitelik</a0> sütunundaki servicePrincipalName ' ı tıklatın ve sonra da <a2>Düzenle</a2>'yi tıklatın.
- Multi-valued Dize Düzenleyicisi iletişim kutusunda, bu SQL Server hizmet hesabını kullanan örneklerini SQL Server için hizmet ilkesi adı (SPN) kaldırın.
Uyarı Yalnızca, üzerinde çalışmakta olduğunuz SQL Server örnekleri için SPN silmelisiniz. Bu hizmet hesabını kullanan diğer örneklerini SQL Server bu örnekleri için bu örnekleri bir sonraki yeniden başlatışınızda ilişkili SPN kaldırmak olacaktır. - ADSI düzenleme ek bileşenini kapatın.
Bu adımları izledikten sonra SQL Server 2005'in yeni yüklemelerinde veya varolan bir SQL Server 2005 örneği için etki alanı adı veya TCP/IP bağlantı noktasını değiştirirseniz SPN sorunlar da ortadan.
Adım 4: istemci bilgisayarları yapılandırma
- Bağlantı kuracak her istemci için Microsoft ınternet Explorer, Windows kimlik doğrulamasını kullanacak biçimde yapılandırılmış olduğunu doğrulayın:
- ınternet Explorer'da, Araçlar menüsünden Internet seçenekleri ' ni tıklatın.
- Gelişmiş sekmesini tıklatın.
- Güvenlik, Tümleşik Windows kimlik doğrulamasını etkinleştir (yeniden başlatma gerektirir) tıklatıp seçin ve Tamam ' ı tıklatın.
Adım 5: yapılandırmasını sınama
Söz konusu ise her bilgisayar için:
- Bilgisayara oturum açın ve sonra bilgisayar, etki alanı denetleyicisinden geçerli Kerberos bileti elde edebilirsiniz doğrulamak için Kerbtray.exe kullanın.
- Kerbtray.exe, bilgisayardaki tüm biletleri kaldırmak için kullanın.
- Ve SQL döndüren Web sayfasına bağlantı oluşturmak sunucu verisi.
NotSQLSERVERNAME, SQL Server çalıştıran bir bilgisayar adı ile Değiştir: - Veri döndürdü, bu sayfa, kimlik doğrulama türü üzerinde anlaş görüntüler ve veritabanlarının bir listesini, yüklenmekte olan sunucuda döndürmelidir yordamı sp_helpdb sonucu için SQL Server veri depolanan .ASP sayfasından bağlanılıyor.
- Denetim SQL Server'da açık varsa, uygulama günlüğüne bağlantının "güvenilen" olduğunu görürsünüz.
ASP sınama komut için SQL Server veri alma
SQL Server verileri için sınama ASP komut olur. Bu kod örneği kullanıyorsanız, SQL Server çalıştıran bilgisayarın adıyla
SQLSERVERNAME değiştirmek dikkat edin.
<%@ Language=VBScript %>
<HTML>
<HEAD>
<META NAME="GENERATOR" Content="Microsoft Visual Studio 6.0">
</HEAD>
<BODY>
<%="'auth_user' is" & request.servervariables("auth_user")%>
<P>
<%="'auth_type' is" & request.servervariables("auth_type")%>
<P>
Connections string is <B>" Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=pubs;Data Source=SQLSERVERNAME </B>
<P>
<%
set rs = Server.CreateObject("ADODB.Recordset")
set cn = Server.CreateObject("ADODB.Connection")
cn.Open "Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=pubs;Data Source=SQLSERVERNAME"
rs.open "MASTER..sp_helpdb",cn
Response.Write cstr(rs.Fields.Count) +"<BR>"
while not rs.EOF
Response.Write cstr(rs(0))+"<BR>"
rs.MoveNext
wend
rs.Close
cn.Close
set rs = nothing ' Frees memory reserved by the recordset.
set cn = nothing ' Frees memory reserved by the connection.
%>
</BODY>
</HTML>
Active Directory sunucusu ilkesi adı bilgilerinin bir listesini toplamak için
Active Directory sunucu asıl adı (SPN) bilgilerin listesini toplamak için <a0></a0>, bir Netbıos etki alanı adı ve
NewoutputUsers.txtbetaland olduğu etki alanı denetleyicileriniz, aşağıdaki komutu yazarak çıktı dosyasının sonuçlarını bağlantı noktası için kullanacağı addır. Tam yol kullanın, dosyanın komut satırı çalıştırdığınız geçerli klasörde yer alır. Bu örnek komut, tüm etki alanını sorgular:
LDIFDE -d "CN = Kullanıcılar, DC = betaland =" -l servicePrincipalName -F NewoutputUsers .txt
Bu sözdizimi bu makalenin "Etki alanı düzeyi çıkışını NewouputUsers.txt" bölümünde çıkışı benzer bilgiler içeren NewoutputUsers.txt adlı bir dosya oluşturur.
Tüm etki alanı toplama bu çıktıyı zor olabilir. Bu nedenle, belirli bir kullanıcı adı için toplanan bilgileri sınırlamak için <a0></a0>,
User Name kullanıcı adı; burada
betaland sorguladığınız etki alanı aşağıdaki sözdizimini kullanın:
ldifde -d "CN = User Name, DC = betaland =" -l servicePrincipalName -F NewoutputUsers .txt
Büyük ölçüde belirli bir kullanıcı ile ilgili bilgileri toplama işlemi üzerinden arama verileri azaltır. Tüm etki alanı ile ilgili bilgileri toplamak, söz konusu sunucu belirli bir kullanıcı adı için arama yapın. Çıkış örnekte, görürsünüz:
- Girişler, artık bulunmayan, ancak Active Directory'den tamamen kaldırılmadı sunucuları.
- "User Name" kullanıcı on farklı sunucular için geçerli SPN bilgi vardır.
Ayrıca, Active Directory hizmeti kullanabilir arabirimleri (ADSI) aracı, geçerli olmayan bir Active Directory girişlerini düzeltmek için.
Uyarı ADSI düzenleme ek bileşenini kullanıyorsanız LDP yardımcı programını veya başka bir LDAP sürüm 3 istemcisini ve Active Directory nesnelerinin özniteliklerini hatalı olarak değiştirirseniz, ciddi sorunlara neden olabilir. Bu sorunlar Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 veya Windows ve Exchange'in her ikisini birden yeniden yüklemenizi gerektirebilir. Microsoft, Active Directory nesne özniteliklerinin hatalı olarak değiştirilmesinden kaynaklanan sorunların giderilebileceğini garanti etmemektedir. Bu öznitelikleri değiştirmek kendi sorumluluğunuzdadır.
Etki alanı düzeyi NewouputUsers.txt çıkışını
dn: CN=User Name,CN=Users,DC=betaland
changetype: add
servicePrincipalName: MSSQLSvc/CLUSTERDEFAULT.betaland:1257
servicePrincipalName: MSSQLSvc/INST3.betaland:3616
servicePrincipalName: MSSQLSvc/INST2.betaland:3490
servicePrincipalName: MSSQLSvc/SQLMAN.betaland:1433
servicePrincipalName: MSSQLSvc/VSS1.betaland:1433
servicePrincipalName: MSSQLSvc/INST1.betaland:2536
servicePrincipalName: MSSQLSvc/INST4.betaland:3967
servicePrincipalName: MSSQLSvc/SQLVIRTUAL1.betaland:1434
servicePrincipalName: MSSQLSvc/SQLVIRTUAL.betaland:1433
servicePrincipalName: MSSQLSvc/SQLBUSTER.betaland:1315
Güvenlik hesabını temsilci seçme hakkında daha fazla bilgi için SQL Server Books Online'da "Güvenlik Hesap temsilcisi seçme" konusuna bakın.
Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
262177
(http://support.microsoft.com/kb/262177/
)
Kerberos olay günlüğünü etkinleştirme
321708
(http://support.microsoft.com/kb/321708/
)
Windows 2000'de Ağ Tanılama Aracı'nı (Netdiag.exe) Kullanma (Bu makale, henüz çevrilmemiş İngilizce içeriğe bağlantılar içerebilir)
326985
(http://support.microsoft.com/kb/326985/
)
ııs'deki Kerberos ile ilgili sorunlar nasıl giderilir
244474
(http://support.microsoft.com/kb/244474/
)
Windows Server 2003, Windows XP ve Windows 2000'de Kerberos nasıl UDP yerine TCP kullanmaya zorlanır
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Otomatik Tercüme
Üste
