Kaip ?alinti triktis klaidos prane?imas "Negalima generuoti SSPI kontekste"

Straipsni? vertimai Straipsni? vertimai
Straipsnio ID: 811889 - Per?i?r?ti ?iame straipsnyje minimus produktus.
I?pl?sti visus | Sutraukti visus

Suprasti problem?

Sutraukti ?? paveiksl?l?I?pl?sti ?? paveiksl?l?
assets folding start collapsed
?iame skyriuje pateikiama pagrindin? informacija apie Kod?l atsiranda klaidos prane?imas "Negalima generuoti SSPI kontekste" ir kaip ?alinti triktis klaidos. Galite gauti ?? klaidos prane?im? jei ?ios s?lygos teisingos:
  • J?s jungiat?s prie Microsoft SQL Server.
  • Naudosite integruot? saugumo.
  • Kerberos autentifikavimo naudojamas atlikti saugumo delegacija.
Tinkamas Kerberos terminijos ir tarnybos pavadinimas
SQL serverio tvarkykl? kliento kompiuteryje naudoja integruot? saugumo naudoti Windows saugos atpa?inimo ?enkle vartotojo abonemento turi pavykti prisijungti prie kompiuterio, kuriame veikia SQL serveris. Windows saugos atpa?inimo ?enkle yra pavesta i? kliento kompiuter?, kuriame veikia SQL serveris. SQL serverio vairuotojas atlieka ?i delegacija kai vartotojo saugos atpa?inimo ?enklas yra perkelti i? vieno kompiuterio ? kit? naudodami vien? i? ?i? konfig?racij?:
  • NTLM per ?vardintus kanalus (ne naudojant saugumo paramos teik?jo s?saja [SSPI])
  • NTLM per TCP/IP lizdai su SSPI
  • Kerberos autentifikavimo per TCP/IP lizdai su SSPI
Saugumo paramos teik?jo s?saja (SSPI) yra rinkinys Windows API, kuri leid?ia delegacija ir abipusio autentifikavimo per bet kok? bendro pob?d?io duomenis transporto sluoksnis, pvz., TCP/IP lizdai. Tod?l SSPI leid?ia kompiuteryje, kuriame veikia operacin? sistema Windows saugiai perduoti vartotojo saugos atpa?inimo ?enkl? i? vieno kompiuterio ? kit? per bet kok? transporto sluoksnis, kuris gali perduoti ?aliavinio bait? duomen?.

"Negalima sukurti SSPI kontekste" klaida yra generuojama SSPI naudoja Kerberos autentifikavimo deleguoti per TCP/IP ir Kerberos autentifikavimo negali atlikti reikiamas operacijas s?kmingai deleguoti vartotojo saugos atpa?inimo ?enkle ? paskirties kompiuter?, kuriame veikia SQL serveris.
Kod?l saugumo paramos Provider Interface naudoja NTLM arba Kerberos autentifikavimo
Kerberos autentifikavimas naudoja identifikatorius pavadinimu "Tarnybos pavadinimas" (SPN). Ir SPN laikyti domeno arba mi?ko unikal? identifikatori? kai kurios instancijos serverio i?tekli?. J?s galite tur?ti yra SPN tinklo tarnybos, SQL tarnyba, arba yra SMTP paslauga. Taip pat gali interneto paslaug? pakartotinas tame pa?iame kompiuteryje, fizin?s, kuris unikalus SPN.

SPN SQL Server sudaro ?ie elementai:
  • ServiceClass: jis nurodo bendr? klas?s paslaug?. Tai alwaysMSSQLSvc SQL Server.
  • Host: tai domeno pavadinim? DNS nuo kompiuterio thatis paleisti "SQL Server".
  • Port: tai yra prievado numeris, paslauga yra klausytis.
Pavyzd?iui, tipi?kas SPN kompiuteryje, kuriame veikia SQL serveris yra toks:
MSSQLSvc/SQLSERVER1.northamerica.corp.mycompany.com:1433
SPN, numatytojo egzemplioriaus format? ir format?, kad SPN u? ?vardyt?j? nesiskiria. Prievado numeris yra jungia SPN su konkre?iu atveju.

Kai klientas SQL serverio vairuotojas naudoja integruot? saugumo prisijungti prie SQL serverio, vairuotojas kodas klientas bando i?spr?sti visas DNS kompiuterio, kuriame veikia SQL serverio naudojant tinklo API WinSock. Norint atlikti ?i? operacij?, vairuotojas kodas ragina gethostbyname ir gethostbyaddr WinSock API. Net jei IP adresas arba kompiuterio vardas yra pripa?inta kompiuter?, kuriame veikia SQL serverio pavadinimas, SQL serverio vairuotojas bando i?spr?sti visas DNS kompiuterio, jei kompiuteris naudoja integruot? saugumo.

Kai SQL serverio tvarkykl? kliento i?sprend?ia visas DNS kompiuterio, kuriame veikia SQL serveris, atitinkamas DNS naudojama formos SPN ?iam kompiuteriui. Tod?l klausim? apie kaip IP adresas arba kompiuterio vardas yra visas DNS i? WinSock gali sukelti SQL serverio tvarkykl? sukurti netinkamas SPN kompiuterio, kuriame veikia SQL Server.

Pvz., netinkamas SPN kad kliento SQL serverio tvarkykl? gali susidaryti kaip i?spr?sta visi?kai kvalifikuotas DNS yra ?ie:
  • MSSQLSvc / SQLSERVER1:1433
  • MSSQLSvc/123.123.123.123:1433
  • MSSQLSvc/SQLSERVER1.antartica.corp.mycompany.com:1433
  • MSSQLSvc/SQLSERVER1.dns.northamerica.corp.mycompany.com:1433
Kai SQL serverio tvarkykl? sudaro SPN, kuri yra neleistina, autentifikavimo vis dar veikia, nes SSPI s?saja bando ie?koti SPN ? katalog? tarnybos Active Directory, ir ji neranda SPN. Jei SSPI s?saja neranda SPN, Kerberos autentifikavimas neatliekamas. Tuo metu SSPI sluoksnis persijungia ? NTLM autentifikavimo re?im? ir ?eiti naudojant naudoja NTLM autentifikavimas ir paprastai pavyksta. Jei SQL serverio tvarkykl? SPN, kad leistina, bet n?ra priskirta atitinkam? pakuot?, jis bando naudoti SPN bet negaliu. Tai sukelia klaidos prane?im? "Negalima generuoti SSPI kontekste". Jei SQL serverio paleidimo s?skaita yra vietin? sistema, atitinkam? pakuot? yra kompiuterio pavadinim?. Bet kuri? kit? s?skait?, atitinkam? pakuot? yra SQL serverio paleidimo s?skaita. Nes autentifikavimo bandys naudoti pirm? SPN, kad ji suranda, patikrinkite, ar yra ne SPN priskirtas neteisingas konteineriai. Kitaip tariant, kiekviena SPN turi b?ti priskirti vien? ir tik vienas konteineris.

Pagrindinis veiksnys, kuris padeda Kerberos autentifikavimas s?kmingas yra galiojan?io DNS funkcijas tinkle. Galite patikrinti ?i? funkcij? kliento ir serverio naudojant Ping komand? eilut?s priemon?. Kliento kompiuteryje, vykdykite nurodyt? komand?, nor?dami gauti IP adres? i? serverio, kuriame veikia SQL serveris (kai kompiuteryje, kuriame veikia SQL serverio vardas yra SQLServer1).
Ping sqlserver1
Nor?dami pamatyti, ar Ping utility i?sprend?ia visas DNS SQLServer1, vykdykite ?i? komand?:
Ping- IPAddress
Pvz.:
C:\>ping SQLSERVER1

Pinging SQLSERVER1 [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
	
Ping statistics for 123.123.123.123:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms
C:\>ping -a 123.123.123.123
	
Pinging SQLSERVER1.northamerica.corp.mycompany.com [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Ping statistics for 123.123.123.123:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

C:\>
Kai komanda Ping- IPAddress priima ? teising? visi?kai kvalifikuotas DNS kompiuterio, kuriame veikia SQL serveris, kliento rezoliucija taip pat s?kmingai.
SQL serverio tarnybos vyriausioji vard? k?rim?
Tai yra vienas i? svarbi? dali? Kerberos autentifikavimo ir SQL serverio s?veika. Su SQL serverio, galite paleisti SQL serverio paslaug? pagal vien? i? ?i? veiksm?: LocalSystem s?skaitos, vietos vartotojo abonement? arba domeno vartotojo abonement?. Paleidus SQL serverio tarnybos egzemplioriaus, jis bando u?siregistruoti savo SPN Active Directory naudoti, kad DsWriteAccountSpn API. Jei skambutis nepasiteisina, toks ?sp?jimas yra ?ra?yti ?vyki? per?i?ros program?:

?altinis: MSSQLServer ID: 19011 Apra?ymas: SuperSocket info: (SpnRegister): klaida 8344.

Daugiau informacijos apie funkcij? DsWriteAccountSpn , eikite ? Microsoft tinklalapyje:
http://msdn2.Microsoft.com/en-us/library/ms676056.aspx
Supaprastintas paai?kinimas
Jei paleisti SQL serverio paslaug? pagal LocalSystem s?skait?, SPN bus automati?kai ?registruotas ir Kerberos autentifikavimo s?kmingai bendrauja su kompiuteriu, kuriame veikia SQL serveris. Ta?iau, jei jums paleisti SQL serverio paslaug? pagal domeno abonement? arba vietin?s s?skaitos, bandymas sukurti SPN nepavyksta, da?niausiai nes domeno ir vietin?s s?skaitos neturi teis?s nustatyti savo SPN. Kai SPN sukurti nepasiteisina, tai rei?kia, kad n?ra SPN yra sukurti kompiuterio, kuriame veikia SQL serveris. Jei jums patikrinti naudojant domeno administratoriaus abonement? kaip SQL serverio tarnybos abonement?, SPN s?kmingai sukurtas nes domeno administratoriaus kredencialai, kuriuos reikia tur?ti norint sukurti yra SPN yra.

Tod?l, kad j?s negalite naudoti domeno administratoriaus abonement? paleisti SQL serverio paslaug? (siekiant i?vengti pavojaus saugumui), kompiuteryje, kuriame veikia SQL Server negali sukurti savo SPN. Tod?l, turite neautomatiniu b?du sukurti yra SPN kompiuteryje, kuriame veikia SQL serveris Jei norite naudoti Kerberos autentifikavim? prijungus prie kompiuterio, kuriame veikia SQL serveris. Tai aktualu, jei j?s naudojate SQL serverio domeno vartotojo abonement? arba vietos vartotojo abonement?. SPN sukuriate turi b?ti priskirti tarnybos abonement? SQL Server tarnybos, ypa? kompiuteryje. SPN negali b?ti priskirta prie kompiuterio konteinerio nebent kompiuter?, kuriame veikia SQL serveris prasideda vietin?s sistemos abonentas. Turi b?ti vienas ir tik vienas SPN, ir jis turi b?ti priskirtas ? atitinkam? konteiner?. Paprastai tai yra dabartinis SQL serverio tarnybos abonement?, bet tai kompiuterio ? ind? su vietin?s sistemos abonentas.
Sutraukti ?? paveiksl?l?I?pl?sti ?? paveiksl?l?
assets folding end collapsed

I?spr?sti problem?

Sutraukti ?? paveiksl?l?I?pl?sti ?? paveiksl?l?
assets folding start collapsed
?iame skyriuje nurodomi priemoni? siekdami u?tikrinti, kad j?s? kompiuteris neturi patirties SSPI problemas.

Patikrinkite, ar domeno
Patikrinti, kad domeno, kuriame ?siregistruojate ant gali bendrauti su domeno, kuriam priklauso kompiuter?, kuriame veikia SQL serveris. Taip pat reikia teisingai vardo vertinim? srityje.
  1. Turite ?sitikinti, kad j?s galite s?kmingai ?eiti ? sistem? Windows naudodami t? pat? domeno abonement? ir slapta?od?, paleidimas ? SQL serverio paslaug?. Pavyzd?iui, SSPI klaida gali atsirasti vienoje i? ?i? situacij?:
    • Domeno yra u?blokuotas.
    • S?skaitos slapta?odis buvo pakeistas. Ta?iau, jums niekada paleisti SQL serverio paslaug? slapta?odis buvo pakeistas.
  2. Jei j?s? ??jimo domeno kompiuter?, kuriame veikia SQL serverio domeno, patikrinti patikimas ry?ys tarp domen?.
  3. Patikrinkite, ar serveris priklauso prie domeno ir domeno abonement?, kur? naudojate prisijungti yra tame pa?iame mi?ke. Tai b?tina SSPI dirbti.
  4. Naudoti d?l s?skaitos yra patikimos delegacija Active Directory vartotojai ir kompiuteriai paleidus SQL serverio pasirinktis.

    Pastaba. ? "s?skaitos yra patikimos delegacijos" teis? yra reikalaujama tik kada yra perduoti ?galiojimai i? paskirties SQL server? prie nuotolinio serverio SQL pavyzd?iui dvigubo apyni? scenarij? kaip paskirstyti u?klaus? (susij?s serverio u?klausas), naudoti sistemos Windows autentifikavim?.
  5. Naudoti manipuliuoti tarnybos Pana¹iù s?skaitas (SetSPN.exe) ?rankis Windows 2000 i?tekli? rinkinyje. Windows 2000 domeno administratoriaus abonementui arba Windows Server 2003 domeno administratoriaus abonement? galite naudoti priemon? kontroliuoti SPN, priskirtas paslaug? ir s?skait?. SQL Server, turi b?ti vienas ir tik vienas SPN. SPN turi b?ti priskirtas ? atitinkam? pakuot?, Dabartinis SQL serverio tarnybos abonement? da?niausiai ir kompiuterio abonento kai SQL serverio prasideda vietin?s sistemos abonentas. Jei paleidus SQL serverio o prisijung?s su LocalSystem abonentu, SPN automati?kai nustatyti. Ta?iau, jei naudojate domeno abonement? paleisti SQL serverio arba pakei?iate abonement?, kur? yra naudojamas norint paleisti SQL serverio, turite paleisti SetSPN.exe pa?alinti baig?si SPN, ir tada turite prid?ti galiojant? SPN. Daugiau informacijos rasite "Saugumo s?skaita delegacija" temoje SQL serverio 2000 knyg? Online. Nor?dami tai padaryti, eikite ? Microsoft interneto svetain?je:
    http://msdn2.Microsoft.com/en-us/library/aa905162 (SQL.80).aspx
    Daugiau informacijos apie Windows 2000 i?tekli? rinkiniai, eikite ? Microsoft tinklalapyje:
    http://www.Microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx?mfr=true
  6. Patikrinkite, ar kad vardo vertinim? vyksta tinkamai. Pavadinimas sprendimo metodai gali b?ti DNS, laimi, ?eimininkai failus ir Lmhosts failus. Nor?dami gauti daugiau informacijos apie pavadinimas rezoliucija problemas ir trik?i? ?alinimo, spustel?kite toliau straipsnio numer? ir per?i?r?kite straipsn? Microsoft ?ini? baz?je:
    169790 Kaip pagrindinio TCP/IP triktis
  7. Nor?dami gauti daugiau informacijos, kaip i?spr?sti pritaikymo ne?galiesiems ir ugniasiene susijusius su Active Directory, spustel?kite ?iuos numerius per?i?r?kite straipsnius Microsoft ?ini? baz?je:
    291382 Da?niausiai u?duodami klausimai apie Windows 2000 DNS ir Windows Server 2003 DNS
    224196 Apriboti Active Directory replikavimo sraut? ir kliento RPC sraut? ? konkret? uost?
Sukonfig?ruoti SQL serverio paslaug? sukurti SPN dinami?kai SQL serverio egzempliori?
Nor?dami sukonfig?ruoti SQL serverio paslaug? sukurti SPN dinami?kai, turite pakeisti s?skaitos prieigos kontrol?s parametrus ? katalog? tarnybos Active Directory. Turite suteikti "Skaityti servicePrincipalName" leidimo ir "Ra?yti servicePrincipalName" leidim? SQL serverio tarnybos abonemento.

?sp?jimas Jei naudojate aktyvus katalogas paslaug? s?saj? (ADSI) redaguoti prid?tinis, LDP, akimis, arba bet kuri kita LDAP versija 3 klientams ir j?s neteisingai pakeisti Active Directory objekt? atributus, gali sukelti rimt? problem?. ?ios problemos gali tekti i? naujo ?diegti Windows Server 2003, Microsoft Windows 2000 Server, Microsoft Exchange Server 2003, Microsoft Exchange 2000 Server, arba tiek Windows ir keistis. Mes negalime garantuoti, kad problemas, neteisingai kei?iasi i? Active Directory objekt? atributai gali b?ti i?spr?sta. Pakeisti savo pa?i? rizika po ymius.

Pastaba. Suteikti atitinkamas teises ir vartotojo teisi? ? SQL serverio paleidimo s?skait?, j?s turite b?ti ??j? kaip domeno administratoriaus, ar turite papra?yti domeno administratoriaus, kad ?iai u?duo?iai atlikti.

Nor?dami sukonfig?ruoti SQL serverio paslaug? sukurti SPN dinami?kai, atlikite ?iuos veiksmus:
  1. Spustel?kite prad?ti, spustel?kite vykdyti, tipo Adsiedit.msc, tada spustel?kite gerai.
  2. ADSI Redaguoti snap-in, pl?sti domeno [Nazwa_domeny], i?pl?sti DC =<b00> </b00> RootDomainName, pl?sti KN = vartotojai, de?iniuoju pel?s mygtuku spustel?kite KN =<b00> </b00> AccountName, o tada spustel?kite Ypatyb?s.

    Pastabos
    • Nazwa_domeny yra vietos rezervavimo ?enkl? u? domeno vard?.
    • RootDomainName yra tik rezervavimo ?enklas, aknies domeno pavadinimas.
    • AccountName yra vietos ?ymen?, skirt? to paleisti SQL serverio tarnybos abonement?.
    • Jei nurodysite vietin?s sistemos paskyros paleisti SQL serverio paslaug?, AccountName yra vietos ?ymen?, skirt? abonement?, kur? naudojate ?eidami ? Microsoft Windows.
    • Jei nurod?te domeno vartotojo abonement?, kad paleisti SQL serverio paslaug?, AccountName yra vietos rezervavimo ?enkl? u? domeno vartotojo s?skait?.
  3. Paie?ka pagal KN =<b00> </b00> AccountName Ypatybi? dialogo lange spustel?kite skirtuk? Sauga .
  4. Skirtuke Sauga spustel?kite I?samiau.
  5. Dialogo lange Special?s apsaugos nustatymai ?sitikinkite, kad savaranki?kai , yra i?vardyti teisi? ?ra?ai.

    Jei savaranki?kai s?ra?e n?ra, spustel?kite ?trauktiir tada prid?ti savaranki?kai.
  6. Pagal teisi? ?ra?ai, spustel?kite savaranki?kai, ir tada spustel?kite Redaguoti.
  7. Leidimo atvykti dialogo lange, spustel?kite skirtuk? Ypatyb?s .
  8. Skirtuke Ypatyb?s s?ra?e taikyti spustel?kite ?? objekt? tik , ir tada ?sitikinkite, kad ?ym?s langelius ?iomis teis?mis atrenkami pagal teises:
    • Skaityti servicePrincipalName
    • Ra?yti servicePrincipalName
  9. Tris kartus spustel?kite gerai ir i?eikite i? ADSI Redaguoti prid?tiniame ?rankyje.
U? param? pagal ? proces?, su Active Directory produkt? palaikymo ir pamin?ti ?? Microsoft ?ini? baz?s straipsn?.

Svarbu. Mes rekomenduojame, kad j?s nesuteikia WriteServicePrincipalName teis? ? SQL paslaugos abonementas kai ?ie teiginiai:
  • Yra daug domen? valdikli?.
  • SQL serverio yra sugrupuotos.
Tokiu atveju SPN SQL Server gali b?ti panaikintas d?l latentinis dubliuojant Active Directory. Tai gali sukelti jungiamumo prie SQL serverio egzemplioriaus.

Manoma, kad ?iuos veiksmus:
  • SQL virtual egzemplioriaus pavadinimu Sqlcluster su dviej? mazg?: mazgo A ir mazgo B.
  • A mazgas yra patvirtintas domeno valdiklio A ir mazgas B Autentifikuota domeno valdiklio B.


Taip gali pasireik?ti:
  1. Sqlcluster instancijos yra veiklioji mazge A ir registruoti SQL SPN, domeno valdiklio A metu iki...
  2. Sqlcluster instancijos persijungs ? mazgas B kai mazgas A paprastai yra i?jungti.
  3. Sqlcluster instancijos i?registruoti savo SPN i? domeno valdiklio A i?jungimo metu mazge A.
  4. SPN pa?alinama i? domeno valdiklio A bet pakeitimas dar nebuvo replikuotas domeno valdikliui, B.
  5. Mazgas b paleisdami ir Sqlcluster atveju bando SQL SPN u?siregistruoti domeno valdiklio B. Nuo to laiko, SPN vis dar egzistuoja mazgas B neregistruoja SPN.
  6. Po tam tikro laiko, domeno valdiklio A atkartoja panaikinimas SPN (nuo 3 ?ingsnio) domeno valdikliui, B kaip Active Directory kopijavimo. Galutinis rezultatas, kad n?ra galiojantis SPN yra SQL egzemplioriaus srityje ir tod?l mato ry?io problemas Sqlcluster instancijos.

Pastaba. ?is klausimas tvirtinamas SQL serverio 2012.
Patikrinti serverio aplinka
Patikrinti kai kuriuos pagrindinius nustatymus kompiuteryje, kuriame ?diegtas SQL serveris:
  1. Kerberos autentifikavimo nepalaikomas Windows 2000 kompiuteriuose, kuriuose veikia Windows grupavimas jei pritaik?te 3 pakeitim? paketu (arba naujesne versija) su Windows 2000. D?l to gali nepavykti bandyti naudoti SSPI autentifikavim? Klasterin? SQL serverio egzemplioriuje. Nor?dami gauti daugiau informacijos, spustel?kite toliau nurodyt? straipsnio numer? ir per?i?r?kite ?Microsoft? ?ini? baz?s straipsn?:
    235529 Kerberos autentifikavimo palaikymas Windows 2000 pagrindu veikian?ios serverio grup?ms
  2. Patikrinkite, ar kad serveris veikia Windows 2000 Service Pack 1 (SP1). Daugiau informacijos apie Kerberos autentifikavimo palaikymas Windows 2000-serveri?, spustel?kite toliau straipsnio numer? ir per?i?r?kite straipsn? Microsoft ?ini? baz?je:
    267588 "Negalima sukurti SSPI kontekste" klaidos prane?imas rodomas, kai prisijungiate prie SQL Server 2000
  3. Klasteryje, jei to abonemento, kur? naudojate nor?dami paleisti SQL Server, SQL Server agento arba viso teksto ie?kos paslaug? poky?ius, pvz., nauj? slapta?od?, atlikite tuos pateikiama ?iame Microsoft ?ini? baz?s straipsnyje:
    239885 Kaip pakeisti tarnybos abonementus Klasterin? kompiuteryje, kuriame veikia SQL serveris
  4. Patikrinkite, ar to abonemento, kur? naudojate nor?dami paleisti SQL serverio turi atitinkamas teises. Jei naudojate s?skaita, kurioje n?ra vietos administratori? grup?s narys, rasite "Parametras iki Windows paslaug? s?skaitas" temoje SQL Server Books Online, teis?s, kurios ?iam abonementui turi b?ti i?samus s?ra?as:
    http://msdn2.Microsoft.com/en-us/library/aa176564 (SQL.80).aspx
Patikrinti kliento aplinkoje
Patikrinkite kliento:
  1. ?sitikinkite, kad NTLM apsaugos palaikymo teik?jas yra ?diegtas ir ?jungtas klientas. Nor?dami gauti daugiau informacijos, spustel?kite toliau nurodyt? straipsnio numer? ir per?i?r?kite ?Microsoft? ?ini? baz?s straipsn?:
    269541 Kai j?s prisijungti prie SQL serverio jei Windows NT LM apsaugos palaikymo teik?jo registro rakto n?ra klaidos prane?imas: "ne?manoma sukurti SSPI kontekste"
  2. Nustatyti, ar naudojate talpyklini? kredencial?. Jei ??jote klientui naudodami talpyklinius ?galiojimus, i??jus i? kompiuterio ir tada prisijungti atgal, kai j?s galite prisijungti prie domeno valdiklio ? neleid?ia naudoti talpyklinius ?galiojimus. Nor?dami gauti daugiau informacijos, kaip nustatyti, ar naudojate talpyklini? kredencial?, spustel?kite toliau straipsnio numer? ir per?i?r?kite straipsn? Microsoft ?ini? baz?je:
    242536 Viskas yra ne ?sp?ti, kai registravimo ir d?l su domeno talpyklini? kredencial?
  3. Patikrinti, kad kliento ir serverio datos galioja. Jei datos yra per toli vienas nuo kito, sertifikatus gali b?ti laikomos negaliojan?iomis.
  4. SSPI naudoja fail?, pavadint? Security.dll. Jei bet kuris kitas pra?ymas ?diegia fail?, kuris naudoja ?? pavadinim?, kitas failas gali b?ti naudojamas vietoje real? SSPI fail?. Nor?dami gauti daugiau informacijos, spustel?kite toliau nurodyt? straipsnio numer? ir per?i?r?kite ?Microsoft? ?ini? baz?s straipsn?:
    253577 Klaida: 80004005 - MS ODBC SQL serverio tvarkykl? negali inicijuoti SSPI paketas
  5. Jei AK klient? operacin?s sistemos yra Microsoft Windows98, turite ?diegti Client for Microsoft Networks komponento kliento. Nor?dami gauti daugiau informacijos, spustel?kite toliau nurodyt? straipsnio numer? ir per?i?r?kite ?Microsoft? ?ini? baz?s straipsn?:
    267550 Re: "patvirtinimas nepasisek?" prisijungus prie SQL serverio per TCP/IP
Patikrinkite, ar kliento tinklo ?rankis
? kliento tinklo naudingumas (Jolanta Gasiuniene) teikiama kartu su Microsoft duomen? prieigos komponentai (MDAC) ir ji naudojama sukonfig?ruoti ry?? su kompiuteriais, kuriuose veikia SQL Server. Galite naudoti MDAC Cliconfg.exe Jolanta Gasiuniene ?rankis sukonfig?ruoti ry??:
  1. Skirtuke Bendra b?du protokolus aredefined priklauso MDAC versija. Su ankstesn?mis versijomis MDAC, galite pasirinkti "default" protokol?. Naujausios versijos MDAC, j?s canenable vienas ar daugiau protokol? su vienu i? svarbiausi? s?ra?? kai j?s connectto SQL serverio. Nes SSPI taikomas tik TCP/IP, yra differentprotocol, pvz., Named Pipes, galite i?vengti klaidos.
  2. Patikrinti skirtuk? pseudonimas ? Jolanta Gasiuniene ?sitikinti, kad alias apibr??iama serverio, kuriame bandote prisijungti. Jei nenurodytas serverio pseudonimas, patikrinkite parametrus, kaip ?is kompiuteris sukonfig?ruotas prisijungti prie SQL serverio. Galite tai patikrinti i?braukiant pseudonimas serverio pamatyti ar elgesys pasikei?ia.
  3. Jei pseudonimas serverio apibr??iamas ne Jolanta Gasiuniene, prid?ti slapyvard? serverio ? kur? jungiat?s. Atliekant ?i? u?duot?, yra ai?kiai apibr??ti protokolo ir pasirinktinai nustatyti IP adres? ir prievad?.
Rankiniu b?du nustatyti SQL serverio tarnybos pavadinim?
Nor?dami gauti daugiau informacijos apie tai, kaip rankiniu b?du nustatyti SQL serverio tarnybos pavadinim?, spustel?kite toliau straipsnio numer? ir per?i?r?kite straipsn? Microsoft ?ini? baz?je:
319723 Kaip naudoti Kerberos autentifikavimo SQL Server
Saugumo paramos teik?jo s?saja (SSPI) yra s?sajos su Microsoft Windows NT u?stat?, kuris yra naudojamas Kerberos autentifikavimo ir palaiko autentifikavimo sistemos NTLM saugumo paramos teik?jo. Autentifikavimo atsiranda operacin?s sistemos lygmeniu, kai ?einate ? Windows domene. Kerberos autentifikavimas yra prieinama tik Windows 2000 kompiuteriuose, kuri? Kerberos autentifikavimas ?jungtas ir kad naudoja Active Directory.

SSPI naudojama tik TCP/IP ry?ius, kurie yra pagaminti naudojant Windows autentifikavim?. Windows autentifikavimas yra taip pat ?inomas kaip patikimi ry?iai arba integruot? saugumo. SSPI nenaudoja ?vardintus kanalus ar multi-protocol jungtys. Tod?l, kad problemos galima i?vengti, program? jungtis i? kitok? protokol? nei TCP/IP konfig?ravimas.

SQL serverio klientas bando naudoti integruot? saugumo per TCP/IP lizdai prie kompiuterio, kuriame veikia SQL Server, SQL serverio kliento tinklo bibliotekos naudoja SSPI API saugumo delegacija. SQL serverio tinklo kliento (Dbnetlib.dll) leid?ia i?kviesti funkcij? AcquireCredentialsHandle ir eina "der?tis" pszPackage parametro. Tai rei?kia, kad pagrindini? saugumo teik?jas atlikti der?tis delegacija. Tokiu b?du der?tis galimyb? i?bandyti Kerberos arba NTLM autentifikavim? Windows kompiuteri?. Kitaip tariant, Windows naudoti Kerberos delegacij? jei paskirties kompiuteryje, kuriame veikia SQL serveris turi susieto, sukonfig?ruotas SPN. Kitu atveju Windows naudoti NTLM delegacija.

Pastaba. ?sitikinkite, kad j?s nenaudojate yra abonemento pavadinim? "Sistema" prad?ti bet SQL Server tarnybos (MSSQLServer, SQLServerAgent, MS ie?ka). Raktini? ?od?i? sistema gali sukelti konfliktus su raktas paskirstymo centras (KDC).
Sutraukti ?? paveiksl?l?I?pl?sti ?? paveiksl?l?
assets folding end collapsed

Renka informacij?, skirt? Microsoft klient? palaikymo (CSS) d???

Sutraukti ?? paveiksl?l?I?pl?sti ?? paveiksl?l?
assets folding start collapsed
Jei problemos prie?astis negali gauti naudojant trik?i? ?alinimo veiksmus ?iame straipsnyje, rinkti toki? informacij? ir atidaryti Microsoft klient? palaikymo (CSS) atveju.

?od?i? s?ra?? Microsoft klient? palaikymo telefon? ir informacijos apie palaikymo kainas, eikite ? Microsoft tinklalapyje:
http://support.Microsoft.com/contactus/?ws=support
  1. Sukurti sqldiag ataskait? i? SQL serverio. Moreinformation, rasite "sqldiag ?rankis" temoje ? SQL serverio BooksOnline.
  2. U?fiksuoti ekrano fotografij? kliento paklaidos.
  3. Atidarykite komandin? eilut? mazgas, kad negali prisijungti prie SQL serverio, ir ?veskite ?i? komand?:
    Grynasis prad?ti > started.txt
    ?i komanda sukuria fail?, pavadint? Started.txt kataloge kur vykdote komand?.
  4. ?ra?yti pagal ?? registro rakt? registro rakto reik?m?s kliento kompiuteryje:
    HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSQLSERVER\CLIENT\CONNECTTO
  5. Klasterin? aplinkoje, rasti registro rakte kiekvienos sankaupos mazgui vert?s:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel
  6. Klasterin? aplinkoje, pamatyti ar registro rakte yra kiekvieno klasterio serveris mazge:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLMSsp
  7. U?fiksuoti rezultatai jei jums prisijungti prie SQL serverio naudojant aUniversal Naming Convention (UNC) pavadinim? (arba SQL tinklo pavadinim? klasteryje) i? kliento.
  8. U?fiksuoti rezultatai jei ping kompiuterio pavadinim? (arba SQL tinklo pavadinim? klasteryje) i? kliento.
  9. ?ra?ykite pavadinim?, vartotojo s?skaitas, kad j?s naudojate prad?ti kiekvienas i? SQL Server tarnybos (MSSQLServer, SQLServerAgent, MS ie?ka).
  10. Palaikymo specialistas turi ?inoti, ar SQL serveris yra sukonfig?ruotas mi?rus autentifikavimas arba Windows tik autentifikavimas.
  11. Matyti, ar galite prijungti prie kompiuterio, kuriame veikia SQL Server to paties kliento naudojant SQL serverio autenti?kumo patvirtinim?.
  12. Matyti, ar galite prisijungti naudodami protokolui.

Nuorodos

Daugiau informacijos apie kaip Kerberos autentifikavimo ir SSPI saugos darbai, spustel?kite ?iuos numerius ir per?i?r?kite straipsnius Microsoft ?ini? baz?je:
266080 Atsakymus ? da?nai u?duodamus Kerberos autentifikavimo klausimus
231789 Vietos registravimosi procesui for Windows 2000
304161 SSPI abipusis autentifikavimas yra nurodyta kliento pus?je, bet ne serverio pus?je
232179 Kerberos administravimo Windows 2000
230476 Apra?ymas, bendra Kerberos klaidoms, Windows 2000
262177 Kaip ?galinti Kerberos ?vyki? registravimo
277658 "Setspn" nepavyksta, jei domenas skiriasi nuo NetBIOS vardas kur registruota SQL serverio SPN
244474 Kaip priversti Kerberos naudoti TCP vietoj UDP Windows Server 2003, Windows XP ir Windows 2000
Nor?dami pamatyti dokumentacij? Microsoft SQL Server 2000 saugumo, eikite ? Microsoft tinklalapyje:
http://technet.Microsoft.com/en-us/cc984178.aspx
Sutraukti ?? paveiksl?l?I?pl?sti ?? paveiksl?l?
assets folding end collapsed

Savyb?s

Straipsnio ID: 811889 - Paskutin? per?i?ra: 2014 m. kovo 3 d. - Per?i?ra: 3.0
Taikoma:
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL 2005 Server Enterprise
  • Microsoft SQL 2005 Server Workgroup
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Enterprise Evaluation
  • Microsoft SQL Server 2008 Express
  • Microsoft SQL Server 2008 Express with Advanced Services
  • Microsoft SQL Server 2008 R2 Datacenter
  • Microsoft SQL Server 2008 R2 Developer
  • Microsoft SQL Server 2008 R2 Enterprise
  • Microsoft SQL Server 2008 R2 Express
  • Microsoft SQL Server 2008 R2 Express with Advanced Services
  • Microsoft SQL Server 2008 R2 Integration Services
  • Microsoft SQL Server 2008 R2 Standard
  • Microsoft SQL Server 2008 R2 Standard Edition for Small Business
  • Microsoft SQL Server 2008 R2 Web
  • Microsoft SQL Server 2008 R2 Workgroup
  • Microsoft SQL Server 2008 Reporting Services
  • Microsoft SQL Server 2008 Standard
  • Microsoft SQL Server 2008 Standard Edition for Small Business
  • Microsoft SQL Server 2008 Web
  • Microsoft SQL Server 2008 Workgroup
  • Microsoft SQL Server 2012 Developer
  • Microsoft SQL Server 2012 Enterprise
  • Microsoft SQL Server 2012 Express
  • Microsoft SQL Server 2012 Standard
  • Microsoft SQL Server 2012 Web
  • SQL Server 2012 Enterprise Core
Rakta?od?iai: 
kbsqlsetup kbhowtomaster kbhowto kbsmbportal kbmt KB811889 KbMtlt
Atliktas automatinis vertimas
SVARBU: ?is straipsnis i?verstas naudojant ?Microsoft? ma?ininio vertimo programin? ?rang? ir gali b?ti pataisytas naudojant ?Community Translation Framework? (CTF) technologij?. ?Microsoft? si?lo ma?inos i?verstus ir po to bendruomen?s suredaguotus straipsnius, taip pat ?mogaus i?verstus straipsnius siekdama suteikti prieig? prie vis? savo ?ini? baz?s straipsni? daugeliu kalb?. Ma?inos i?verstuose ir v?liau paredaguotuose straipsniuose gali b?ti ?odyno, sintaks?s ir / arba gramatikos klaid?. ?Microsoft? neatsako u? jokius netikslumus, klaidas arba ?al?, patirt? d?l neteisingo turinio vertimo arba m?s? klient? naudojimosi juo. Daugiau apie CTF ?r. http://support.microsoft.com/gp/machine-translation-corrections.
Spustel?kite ?ia, nor?dami pamatyti ?io straipsnio versij? angl? kalba: 811889

Pateikti atsiliepim?

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com