Tõrkeotsing tõrketeade "Ei saa luua SSPI kontekstis"

Artiklite tõlked Artiklite tõlked
Artikli ID: 811889 - Vaadake tooteid, millega see artikkel seostub.
Laienda kõik | Ahenda kõik

Mõistmise probleem

Ahenda see piltLaienda see pilt
assets folding start collapsed
Käesolev osa annab taustteavet miks tõrketeade "Ei saa luua SSPI kontekstis" esineb ja tõrkeotsing tõrge. See tõrketeade võidakse kuvada, kui täidetud on järgmised tingimused:
  • Loote Microsoft SQL Server.
  • Te kasutate integreeritud turvalisuse.
  • Turvalisuse delegatsioon teostamiseks kasutatakse Kerberose autentimist.
Mõistmise Kerberose terminoloogia ja teenuse põhilise nime
SQL serveri juht klientarvutis kasutab integreeritud turvalisuse Windows turvaluba kasutajakonto abil saate edukalt ühendada arvuti, kus töötab SQL Server. Windowsi turvaluba delegeeritakse kliendi arvutisse, kus töötab SQL Server. SQL serveri autojuht täidab delegatsiooni, kui kasutaja turvaluba delegeeritakse ühest arvutist teise kasutades ühte järgmistest konfiguratsioonidest:
  • NTLM üle Named Pipesi (ei kasuta pakkuja liidese [SSPI])
  • NTLM üle TCP/IP sockets koos SSPI
  • Kerberose autentimine üle TCP/IP sockets SSPI
Turvalisuse toe pakkuja liidese (SSPI) on kogum Windowsi API, mis võimaldab delegatsioon ja vastastikune autentimine üle kõik üldised andmed transpordi kihi, nt TCP/IP sockets. Seetõttu võimaldab SSPI arvutis, mis töötab Windowsi operatsioonisüsteemi delegeerida kindlalt kasutaja turvaluba ühest arvutist teise üle kõiki transpordi kihi, mis edastab toores baiti andmeid.

"Ei suuda luua SSPI kontekstis" viga luuakse SSPI kasutab Kerberose autentimist delegeerida üle TCP/IP ja Kerberose autentimist ei saa delegeerida edukalt sihtkohta arvutisse, kus töötab SQL serveri kasutaja turvaluba vajalike toimingute lõpule viia.
Miks pakkuja liidese kasutab NTLM või Kerberose autentimist
Nimega "Service Principal Name" (SPN) identifikaator kasutab Kerberose autentimist. Mis SPN käsitavad domeeni või metsa mõned astme serveri Ressursi ainuidentifikaator. Sul võib olla oma SPN veebiteenuse, SQL-i teenuse või SMTP-teenus. Ka sul saab mitu veebi otsinguteenuse eksemplaride samasse füüsiline arvuti, mis on unikaalne SPN.

Mis SPN SQL Server koosneb järgmistest elementidest:
  • ServiceClass: see tuvastab teenuse üld klassis. See ei alwaysMSSQLSvc SQL Server.
  • Host: see on täielik domeeninimi SQL serveriga töötava arvuti thatis DNS.
  • Port: see on pordinumber, mida teenus ei kuula.
Näiteks tüüpiline SPN arvutis, mis töötab SQL Server on järgmine:
MSSQLSvc/SQLSERVER1.northamerica.corp.mycompany.com:1433
On SPN vaikimisi astme vorm ja formaat on SPN nimega eksemplari jaoks ei ole erinevad. Pordi number on, mis seob SPN konkreetse eksemplari.

Kui SQL serveri juht klient kasutab SQL serveriga ühenduse integreeritud turvalisuse, kliendi koodi juht püüab lahendada arvutis, mis töötab SQL serveri WinSock API-de võrgustike kasutades täielikult kvalifitseeritud DNS. Selle toimingu sooritamiseks juht kood nõuab gethostbyname ja gethostbyaddr WinSock API. Isegi siis, kui IP aadressi või hostinime järgi on möödunud nagu arvuti, kus töötab SQL Serveri nimi, SQL serveri juht püüab lahendada arvuti täielikult kvalifitseeritud DNS, kui arvuti kasutab integreeritud turvalisuse.

Kui klient SQL serveri juht lahendab arvuti, kus töötab SQL serveri täielik DNS, kasutatakse vastava DNS SPN selle arvuti moodustamiseks. Seetõttu võib küsimusi, kuidas IP aadressi või hostinime järgi on otsustanud täielikult kvalifitseeritud DNS-i poolt WinSock SQL serveri juht luua arvuti, kus töötab SQL Server ei sobi SPN.

SPN-näiteks on kehtetu ID mis kliendipoolse SQL serveri juht võib moodustada nagu lahendatud täielikult kvalifitseeritud DNS on järgmised:
  • MSSQLSvc / SQLSERVER1:1433
  • MSSQLSvc/123.123.123.123:1433
  • MSSQLSvc/SQLSERVER1.antartica.corp.mycompany.com:1433
  • MSSQLSvc/SQLSERVER1.dns.northamerica.corp.mycompany.com:1433
Kui SQL serveri juht vormid SPN, mis ei sobi, autentimine toimib endiselt, sest SSPI kasutajaliides püüab otsida Active Directory kataloogiteenuses SPN ja ei leia ka SPN. Kui SSPI liides ei leia selle SPN, Kerberose autentimine on läbi. Sel hetkel SSPI kiht aktiveerib NTLM-i autentimise re?iim ja sisselogimine kasutab NTLM-autentimist ning tavaliselt õnnestub. Kui SQL serveri juht moodustab SPN, mis on kehtiv, kuid ei ole määratud sobivasse mahutisse, üritab kasutada ka SPN aga ei saa. See põhjustab veateate "Ei saa luua SSPI kontekstis". Kui SQL Serveri käivitamisel konto on local Systemi konto, sobivasse mahutisse on arvuti nimi. Mõne muu konto jaoks sobivasse nõusse on SQL Serveri käivitamisel konto. Kuna autentimise üritab kasutada esimese SPN, mille leiab, veenduge, et ei ole SPN-id määratud vale konteinerid. Teisisõnu, iga SPN tuleb määrata ainult üks konteiner.

Peamine tegur, mis muudab Kerberose autentimine edukas on kehtiv DNS-i funktsioonid võrgus. Ping käsku Käsuviip utiliidi abil saate kontrollida selle funktsionaalsust klient ja server. Kliendi arvutisse, käivitage SQL Server (kui arvuti, kus töötab SQL Serveri nimi on SQLServer1) käitava serveri IP-aadressi saamiseks järgmine käsk:
ping sqlserver1
Et näha, kas Ping utiliiti laheneb täielikult kvalifitseeritud DNS-i SQLServer1, käivitage järgmine käsk:
ping- IP-aadress
Näiteks:
C:\>ping SQLSERVER1

Pinging SQLSERVER1 [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
	
Ping statistics for 123.123.123.123:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms
C:\>ping -a 123.123.123.123
	
Pinging SQLSERVER1.northamerica.corp.mycompany.com [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Ping statistics for 123.123.123.123:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

C:\>
Kui käsk ping- IP-aadress lahendatakse õige täielikult kvalifitseeritud DNS töötab SQL Server arvuti, kliendipoolse resolutsioon on ka edukas.
SQL Serveri teenuse põhilise nime loomine
See on üks tähtsamaid osasid Kerberose autentimine ja SQL serveri interaktsioon. SQL serveri, saate käivitada SQL Serveri teenus all ühte järgmistest: LocalSystem konto, kohaliku kasutajakonto või domeeni kasutajakonto. SQL Serveri teenuse eksemplari käivitumisel püüab registreerida oma SPN Active Directory DsWriteAccountSpn API kõne abil. Kui kõne ei ole edukas, logitakse Sündmusevaatur järgmine hoiatus:

Allikas: MSSQLServer EventID: 19011 kirjeldus: SuperSocket info: (SpnRegister): Error 8344.

DsWriteAccountSpn funktsiooni kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:
http://msdn2.microsoft.com/en-us/Library/ms676056.aspx
Lihtsustatud selgitus
Kui käivitate SQL Serveri teenus LocalSystem konto all, et SPN registreeritakse automaatselt ja Kerberose autentimine suhtleb edukalt töötab SQL Server arvuti. Aga kui käivitate SQL Serveri teenus domeeni kasutajakontot või kohalikku kasutajakontot, loomise ning SPN katse nurjub enamasti, kuna domeenikonto ja kohalik konto ei ole õigust seada oma SPN-id. Kui SPN loomine ei ole edukas, see tähendab, ei ole SPN seadistada arvuti, kus töötab SQL Server. Kui testite SQL serveri teenusekontol domeeni administraatori konto abil, et SPN on edukalt loodud, sest domeeni administraatori taseme mandaat, mida teil on vaja luua ka SPN on kohal.

Kuna te võite kasutada domeeni administraatori konto käivitada SQL Serveri teenus (vältimaks turvariski), ei saa arvuti, kus töötab SQL Server luua oma SPN. Seetõttu tuleb luua käsitsi oma SPN töötab SQL serveriga, kui soovite kasutada Kerberose autentimist, kui loote ühenduse arvutiga, kus töötab SQL Server arvuti. See kehtib ka siis, kui kasutate SQL serveri domeeni kasutajakontot või kohalikku kasutajakontot. Loote SPN tuleb määrata teenuse konto teenus SQL Server arvuti. Arvuti ümbris ei saa selle SPN määrata, kui arvuti, kus töötab SQL Server algab local Systemi konto. Peab olema ainult üks SPN ja see peab olema määratud sobivasse mahutisse. Tavaliselt see on praeguse SQL serveri teenusekontol, kuid see on arvuti konto konteiner local Systemi konto.
Ahenda see piltLaienda see pilt
assets folding end collapsed

Probleemi lahendamisele

Ahenda see piltLaienda see pilt
assets folding start collapsed
Selles jaotises kuvatakse samme, et aidata tagada, et teie arvuti probleemide SSPI.

Kontrollige domeeni
Veenduge, et domeen, kuhu te sisse logida ei saa suhelda arvuti, kus töötab SQL Server kuulub domeeni. Samuti tuleb õige nimi resolutsioon domeenis.
  1. Te peate veenduma, et saab edukalt logite Windows, kasutades sama domeenikonto ja parool SQL Serveri teenuse käivitamise konto. Näiteks SSPI tõrge võib ilmneda üks järgmistest olukordadest:
    • Domeeni konto on lukustatud välja.
    • Selle konto parool on muudetud. Siiski te kunagi SQL Serveri teenuse taaskäivitamiseks pärast seda, kui parool on muudetud.
  2. Kui domeeni sisselogimine erineb arvuti, kus töötab SQL serveri domeen, kontrollige domeenid usaldussuhe.
  3. Kontrollige, kas server kuulub domeeni ja domeeni konto, mida saate kasutada ühenduse loomiseks on samas metsas. See on vajalik SSPI tööle.
  4. Kasutamine on konto on usaldanud delegatsioon võimalus Active Directory suvandis Kasutajad ja arvutid SQL Serveri käivitamisel.

    Märkus Selle "konto on usaldanud delegatsioon" kohe on vaja ainult Millal te on delegeerimise mandaati eesmärgi SQL server serveri SQL Server Standard hop stsenaarium nagu näiteks jaotatud toimingupäringud (lingitud serveri päringud) kasutama Windowsi autentimist.
  5. Kasutage manipuleerida Service Principal Names kontod (SetSPN.exe) taastepunktid Windows 2000 Resource Kit. Domeeni administraatorikonto Windows 2000 või Windows Server 2003 domeeni administraatori kontosid saate utiliidi abil kontrollida SPN, teenuse ja kontot määratud. SQL server, peab olema ainult üks SPN. Selle SPN tuleb määrata sobivasse mahutisse, enamasti praeguse SQL serveri teenusekontol ja arvuti kontot, kui SQL Server algab local Systemi konto. Kui käivitate SQL Serveri kontoga LocalSystem sisse logitud, et SPN on automaatselt seadistatud. Aga kui sa kasutama domeenikontot SQL serveri käivitamiseks või kui te muudate konto, mida kasutatakse SQL Serverit käivitada, peate käivitama SetSPN.exe kõrvaldada aegunud SPN-id ja siis tuleb lisada kehtiv SPN. Lisateavet teemast "Turvalisus konto delegatsioon" SQL Server 2000 raamatuid online. Selleks külastage järgmist Microsofti veebisaiti:
    http://msdn2.microsoft.com/en-us/Library/aa905162 (SQL.80) .aspx
    Lisateavet Windows 2000 Resource komplektid minge järgmisele Microsofti veebisaidile:
    http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx?MFR=True
  6. Kontrollige, kas nimi resolutsioon õigesti esinevad. Nime eraldusvõimet meetodid võivad hõlmata DNS, võidab, Hosts faile ja LMHOSTS-i faili. Nimi resolutsioon probleeme ja tõrkeotsingu kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
    169790 Põhilised TCP/IP probleemide tõrkeotsing
  7. Tõrkeotsing kättesaadavus ja tulemüüri probleemide Active Directory kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artiklite kuvamiseks järgmisi artiklinumbreid:
    291382 Korduma kippuvad küsimused Windows 2000 DNS-i ja Windows Server 2003 DNS
    224196 Active Directory kopeerimisliiklust ja kliendi RPC liikluse piiramise konkreetsesse sadamasse
Seadistada dünaamiliselt SPN-ID loomiseks SQL serveri eksemplarides SQL Serveri teenus
SQL Serveri teenuse loomiseks SPN-id dünaamiliselt konfigureerimiseks peate muutma kataloogiteenuses Active Directory konto pääsuõiguste sätteid. Peate andma luba "Loe andke" ja "Kirjutada andke" luba SQL serveri teenusekontol.

Hoiatus Active Directory teenuse liidesed (ADSI) Edit lisandmoodul, LDP kasuliku või mõni muu LDAP versioon 3 kliendid ja sa valesti muuta Active Directory objekti atribuutide kasutamisel võite põhjustada tõsiseid probleeme. Need probleemid võivad nõuda uuesti installida Windows Server 2003, Microsoft Windows 2000 Server, Microsoft Exchange Server 2003, Microsoft Exchange 2000 Server või Windows nii Exchange. Me ei saa garanteerida, et valesti muutub Active Directory objekti atribuutide probleeme saab lahendada. Muuta neid atribuute omal riisikol.

Märkus Anda asjakohased volitused ja kasutajaõigused kontole SQL Serveri käivitamisel peate olema logitud domeeni administraatorina või peate küsima selleks domeeniadministraatori poole.

SQL Serveri teenuse loomiseks SPN-id dünaamiliselt konfigureerimiseks toimige järgmiselt.
  1. Klõpsake nuppu Start, klõpsake käsku Run, tüüp Adsiedit.msc, ja seejärel klõpsake nuppu OK.
  2. ADSI Edit lisandmoodulit, laiendage domeeni [Domeeninimi], laiendada DC =<b00> </b00> RootDomainName, laiendada CN = kasutajate, paremklõpsake CN =<b00> </b00> Account_name, ja seejärel klõpsake käsku Atribuudid.

    Märkmed
    • Domeeninimi on domeeni nime kohatäide.
    • RootDomainName on juur domeeni nime kohatäide.
    • Account_name on konto, mille määrate SQL Serveri teenuse käivitamise kohatäide.
    • Kui määrate Local Systemi konto SQL Serveri teenuse käivitamise Account_name on konto, mida kasutate Microsoft Windowsi sisselogimisel kohatäide.
    • Kui määrate kasutaja domeenikontot SQL Serveri teenuse käivitamise Account_name on domeeni kasutajakonto, kohatäite.
  3. Aastal Euroopa CN =<b00> </b00> Account_name Atribuutide dialoogiboksis klõpsake vahekaarti Turvalisus .
  4. Klõpsake vahekaardi Turvalisus nuppu Täpsemalt.
  5. Dialoogiboksis Täpsemad turvasätted veenduge, et ise on loetletud Permission kannetest.

    Kui ise pole loendis, klõpsake nuppu Lisaja lisage ise.
  6. Õigusekirjeteall klõpsake iseja seejärel klõpsake käsku Redigeeri.
  7. Dialoogiboksis Loata sisenemist klõpsake vahekaarti Atribuudid .
  8. Vahekaardil Atribuudidainult sellele objektile klõpsake loendis Rakenda üksusele ja seejärel veenduge, et valitud järgmiste õiguste ruudud jaotises õigused:
    • Loe andke
    • Kirjutage andke
  9. Klõpsake kolm korda nuppu OK ja seejärel sulgege ADSI Edit lisandmoodulit.
Abiks selle protsessiga Active Directory tootetoega ja mainida Microsofti teadmusbaasi artiklit.

Oluline Me soovitame, et te ei anna WriteServicePrincipalName õigust SQL-i teenuse konto kui täidetud on järgmised tingimused:
  • Seal on mitu domeenikontrollerid.
  • SQL Server on rühmitatud.
Selle stsenaariumi korral võib SPN SQL Server Active Directory kopeerimise latentsus tõttu kustutada. See võib põhjustada probleeme ühenduvuse SQL serveri eksemplarile.

Oletame, et teil on järgmised:
  • SQL virtuaalne eksemplari nimega Sqlcluster, kelle kaks sõlmed: A sõlm ja sõlme B.
  • Sõlme A on kinnitanud domeeni domeenikontrollerit A ning sõlme B on kinnitanud domeenikontrolleri B.


Võib toimuda:
  1. Sqlcluster näiteks on aktiivse sõlme A ja registreeritud SQL SPN domeenikontrolleri A käivitamisel üles..
  2. Sqlcluster eksemplari ei üle sõlme B kui sõlme A on sulgunud tavaliselt.
  3. Sqlcluster astme deregistered oma SPN alates domeenikontrolleri A sõlme A. sulgemise ajal
  4. Selle SPN eemaldatakse domeenikontrolleri A, kuid muutus on pole veel kopeeritud domeenikontrolleri B.
  5. Käivitamisel sõlme b, Sqlcluster astme proovib domeenikontrolleri B. SQL SPN registreeruma Kuna selle SPN endiselt olemas sõlme B registreerida ning SPN.
  6. Mõne aja pärast domeenikontrolleri A dubleerivate SPN (alates 3. etapp) seda domeenikontrollerit B kustutamine Active Directory kopeerimise osana. Lõpptulemus on, et ei sobi SPN SQL-i astme domeeni jaoks olemas ja seega näete ühendusprobleemide Sqlcluster eksemplari.

Märkus See küsimus on fikseeritud SQL Server 2012.
Kontrollige serveri keskkond
Vaata mõned põhilised seaded arvutis, kuhu on installitud SQL Server:
  1. Kerberose autentimist ei toetata Windows 2000-põhistes arvutites, kus töötab Windows klastrite kui olete rakendanud Service Pack 3 (või uuem versioon), Windows 2000. Seega igasugused katsed kasutada SSPI autentimise rühmitatud astme SQL Server võib nurjuda. Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
    235529 Kerberose autentimine toetust Windows 2000 põhise serveri klastrid
  2. Veenduge, et server töötab Windows 2000 hoolduspaketi Service Pack 1 (SP1). Rohkem infot Kerberose autentimine tugi Windows 2000 põhiste serveritega, klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
    267588 "Ei suuda luua SSPI kontekstis" tõrketeade kuvatakse, kui loote ühenduse SQL Server 2000
  3. Kobarasse, kui konto, saate käivitada SQL Server, SQL Server agenti või full-text search teenused muutused, näiteks uue parooli, järgige järgmises Microsofti teabebaasi artiklis sätestatust:
    239885 Kuidas muuta teenusekontode rühmitatud arvutis, mis töötab SQL Server
  4. Veenduge, et konto, mida kasutate SQL serveri käivitamiseks on vajalikud õigused. Kui kasutate kontot, mis ei ole kohaliku administraatorirühma liige, vaadake "Säte kuni Windows teenuseid kontod" teemat SQL Server Books Online õigused, mis sellel kontol peab olema üksikasjalik loetelu:
    http://msdn2.microsoft.com/en-us/Library/aa176564 (SQL.80) .aspx
Kontrollida kliendi keskkond
Kontrollida kliendi järgmist:
  1. Veenduge, et NTLM-i toe pakkujat on õigesti installitud ja lubatud. Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
    269541 Tõrketeade, kui te luua ühenduse SQL serveriga, kui Windows NT LM turvalisuse abi osutaja registrivõtit: "ei suuda luua SSPI kontekstis"
  2. Teha kindlaks, kas kasutate vahemällu talletatud mandaati. Kui olete sisse logitud kliendile vahemällu talletatud mandaadi abil, logige arvutist välja ja seejärel logige tagasi kui loote ühenduse domeenikontrolleriga, et vältida vahemällu talletatud mandaati. Kuidas määratleda, kas kasutate vahemällu talletatud mandaadi kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
    242536 Kasutaja on hoiatanud, kui sisselogimisel domeeni vahemällu talletatud mandaadid
  3. Veenduge, et klient ja server on kehtivad. Kui kuupäevad on liiga kaugel, võib teie serdid lugeda kehtetuks.
  4. SSPI kasutab faili nimega Security.dll. Kui mis tahes muu rakendus, mis installib faili, mis kasutab seda nime, teiste faili asemel võib kasutada tegeliku SSPI faili. Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
    253577 Tõrge: 80004005 - MS ODBC SQL Server-draiverit ei saa lähtestada SSPI pakett
  5. Kui kliendi operatsioonisüsteem on Microsoft Windows98, peate installima Microsoft Networks komponendi klient klient. Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
    267550 Vika: "väide ebaõnnestus" ühendamisel SQL serveriga TCP/IP kaudu
Kontrollida kliendi võrgu kasuliku
Client Network Utility (CNU) on tarnitud koos Microsoft Data Access Components (MDAC) ja seda kasutatakse ühendus arvutitega, kus töötab SQL serveri konfigureerimiseks. MDAC Cliconfg.exe CNU utiliidi abil saate konfigureerida Ühenduvus:
  1. Vahekaardil Üldine viis protokollide aredefined oleneb MDAC versioon. MDAC varasemate versioonidega saate valida "vaikimisi" protokolli. MDAC, te canenable uusimad üks või mitu protokolli ühe nimekirja tipus kui te connectto SQL Server. Kuna SSPI rakendatakse ainult TCP/IP, saate differentprotocol, nagu näiteks Named Pipesi eksimus.
  2. Kontrollige Alias vahekaarti CNU kontrollimaks, et alias on määratletud server, et te püüate ühendust. Kui server pseudonüüm on määratletud, kontrollige seadeid kuidas see arvuti on konfigureeritud SQL serveriga. Te saate kontrollida kustutades alias server, et näha, kas käitumine muutub.
  3. Kui alias server ei ole määratletud CNU, lisada alias server, millega te ühenduse loote. Kui te seda ülesannet täita, on ka selgesõnaliselt määratleda protokolli ja soovi korral määratleda IP-aadress ja port.
Käsitsi seadistada SQL Serveri teenuse põhilise nime
SQL Serveri teenuse põhilise nime käsitsi seadistamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
319723 Kuidas kasutada Kerberose autentimist SQL Server
Turvalisuse toe pakkuja liidese (SSPI) on Microsoft Windows NT turvalisus, mida kasutatakse Kerberose autentimist ning NTLM-i toe pakkujat Autentimissüsteemi toetab liidest. Autentimine toimub operatsioonisüsteemi tasemel Windowsi domeeni sisselogimisel. Kerberose autentimine on saadaval ainult Windows 2000 põhiste arvutite, mis on Kerberose autentimist lubavale ja mis kasutavad Active Directory.

SSPI kasutatakse ainult TCP/IP ühendusi, mis on valmistatud kasutades Windowsi autentimist. Windowsi autentimine on tuntud ka kui usaldusväärse ühendusi või integreeritud turvalisuse. SSPI kasutatakse Named Pipesi või paljuprotokollilist ühendused. Seetõttu saab vältida probleemi, konfigureerides kliendid ühendada peale TCP/IP protokolli.

Kui SQL serveri klient üritab kasutada integreeritud turvalisuse üle TCP/IP sockets kaugarvutiga, kus töötab SQL Server, SQL Server client võrgu Raamatukogu kasutab SSPI API turvalisuse delegatsioon. SQL Server võrgu klienti (Dbnetlib.dll) võimaldab helistada AcquireCredentialsHandle funktsiooni ja läbib "läbirääkimisi" jaoks pszPackage parameeter. See teavitab aluseks julgeoleku tagaja sooritada läbirääkimisi delegatsioon. Läbirääkimisi selles kontekstis tähendab proovida või Kerberose kui ka NTLM-autentimise Windows-põhiste arvutite. Teisisõnu, Windows kasutada Kerberose delegeerimist kui sihtkoha arvuti, kus töötab SQL Server on sellega seotud, õigesti konfigureeritud SPN. Muidu Windows Kasuta NTLM-i delegatsioon.

Märkus Veenduge, et te ei kasuta konto nimega "Süsteem" alustada mõne SQL Serveri teenuseid (MSSQLServer, SQLServerAgent, MSSearch). Märksõna süsteemi võib põhjustada konflikte koos võti levitamise keskus (KDC).
Ahenda see piltLaienda see pilt
assets folding end collapsed

Koguda teavet avada Microsoft kliendi tuge (CSS) juhul

Ahenda see piltLaienda see pilt
assets folding start collapsed
Kui see artikkel tõrkeotsingu juhiste abil ei saa hankida probleemi põhjus, koguda järgmist teavet ja avada Microsoft kliendi tuge (CSS) juhul.

Minge Microsofti klienditoe telefoni numbrid ja tugikulude teabe täielik loetelu järgmiselt Microsofti veebisaidilt:
http://support.microsoft.com/contactus/?ws=support
  1. Loo SQL serveri sqldiag aruanne. Moreinformation, SQL serveri BooksOnline teemast "sqldiag utiliit".
  2. Lüüa ekraanipilt klient viga.
  3. Avage käsuviip sõlme, et ei saa luua ühenduse SQL serveriga ja seejärel tippige järgmine käsk:
    net start > started.txt
    See käsk loob faili nimega Started.txt kausta kui käivitate käsu.
  4. Kliendi arvutisse salvestada väärtused registrivõtme järgmise registrivõtme all:
    HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSQLSERVER\CLIENT\CONNECTTO
  5. Rühmitatud keskkonnas, leida iga klastri sõlme jaoks järgmise registrivõtme väärtus:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel
  6. Rühmitatud keskkonnas, vaadake, kas järgmine registrivõti on olemas iga klastri server sõlme:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLMSsp
  7. Ning tulemusi kirja kui loote SQL Serveri abil aUniversal Nimemalli (UNC) nimi (või SQL-i võrgu nimi klastri kohta) klient.
  8. Pildista tulemusi, kui sa ping arvuti nime (või SQL-i võrgu nimi klastri kohta) klient.
  9. Kasutajakontod, saate käivitada SQL Serveri teenuseid (MSSQLServer, SQLServerAgent, MSSearch) sellise nime salvestada.
  10. Tugitöötaja peab teadma, kas SQL Server on konfigureeritud segatud autentimine ja Windowsi autentimine ainult.
  11. Vaadake, kas saate ühendada arvuti, kus töötab sama kliendi poolt SQL serveri autentimist kasutava SQL Server.
  12. Vaadake, kas saate nimitorude protokolli abil ühenduse luua.

Viited

Lisateabe saamiseks kuidas Kerberose autentimine ja SSPI security töötab, klõpsake Microsofti teabebaasi artiklite kuvamiseks järgmisi artiklinumbreid:
266080 Vastused korduma kippuvatele Kerberose autentimine
231789 Kohaliku sisselogimise protsessi Windows 2000 puhul
304161 SSPI vastastikune autentimine on märgitud kliendi poolel, kuid mitte serveripoolne
232179 Kerberose haldamine Windows 2000
230476 Kirjeldus ühise Kerberose seotud vigade opsüsteemis Windows 2000
262177 Kuidas võimaldada Kerberose sündmuste logimine
277658 Setspn ebaõnnestub, kui domeeni nimi erineb NetBIOS-nimi, kus SQL serveri SPN on registreeritud
244474 Kuidas sundida Kerberose operatsioonisüsteemides Windows Server 2003, Windows XP ja Windows 2000 UDP asemel TCP-protokolli kasutama
Vt valge raamat Microsoft SQL Server 2000 turbe kohta, külastage järgmist Microsofti veebisaiti:
http://technet.microsoft.com/en-us/cc984178.aspx
Ahenda see piltLaienda see pilt
assets folding end collapsed

Atribuudid

Artikli ID: 811889 - Viimati läbi vaadatud: 3. august 2013 - Redaktsioon: 2.0
Kehtib järgmise lõigu kohta:
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL 2005 Server Enterprise
  • Microsoft SQL 2005 Server Workgroup
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Enterprise Evaluation
  • Microsoft SQL Server 2008 Express
  • Microsoft SQL Server 2008 Express with Advanced Services
  • Microsoft SQL Server 2008 R2 Datacenter
  • Microsoft SQL Server 2008 R2 Developer
  • Microsoft SQL Server 2008 R2 Enterprise
  • Microsoft SQL Server 2008 R2 Express
  • Microsoft SQL Server 2008 R2 Express with Advanced Services
  • Microsoft SQL Server 2008 R2 Integration Services
  • Microsoft SQL Server 2008 R2 Standard
  • Microsoft SQL Server 2008 R2 Standard Edition for Small Business
  • Microsoft SQL Server 2008 R2 Web
  • Microsoft SQL Server 2008 R2 Workgroup
  • Microsoft SQL Server 2008 Reporting Services
  • Microsoft SQL Server 2008 Standard
  • Microsoft SQL Server 2008 Standard Edition for Small Business
  • Microsoft SQL Server 2008 Web
  • Microsoft SQL Server 2008 Workgroup
  • Microsoft SQL Server 2012 Developer
  • Microsoft SQL Server 2012 Enterprise
  • Microsoft SQL Server 2012 Express
  • Microsoft SQL Server 2012 Standard
  • Microsoft SQL Server 2012 Web
  • SQL Server 2012 Enterprise Core
Märksõnad: 
kbsqlsetup kbhowtomaster kbhowto kbsmbportal kbmt KB811889 KbMtet
Masintõlgitud
NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections/et.
Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 811889

Andke tagasisidet

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com