Riešenie problémov s chybové hlásenie "Nedá generovať SSPI"

Preklady článku Preklady článku
ID článku: 811889 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Pochopenie problému

Zbaliť tento obrázokRozbaliť tento obrázok
assets folding start collapsed
Táto časť poskytuje základné informácie o Prečo "Nemôžete vytvárať rozhrania SSPI" zobrazí hlásenie a riešenie problémov s chyba. Môže toto hlásenie chýb ak sú splnené nasledovné podmienky:
  • Pripájate sa na server Microsoft SQL Server.
  • Používate integrované zabezpečenie.
  • Overovanie Kerberos je použitá na vykonanie zabezpečenia delegácie.
Pochopenie terminológie Kerberos a hlavný názov služby
SQL Server ovládač na klientskom počítači používa integrované zabezpečenie pomocou Windows security token používateľského konta sa úspešne pripojiť k počítaču, ktorý je spustený server SQL Server. Windows security token je delegovaná z klientskeho počítača, ktorý je spustený server SQL Server. Ovládač SQL Server vykonáva túto delegáciu pri token zabezpečenia používateľa je delegované z jedného počítača do druhého pomocou jedného z nasledujúcich konfigurácií:
  • NTLM prostredníctvom pomenovaných presmerovaní (nie pomocou zabezpečenia podpory poskytovateľa rozhranie [SSPI])
  • NTLM cez TCP/IP sockets s SSPI
  • Overovanie Kerberos cez TCP/IP sockets s SSPI
Zabezpečenia podpory poskytovateľa rozhranie (SSPI) je súbor Windows API, ktorá umožňuje delegácie a vzájomnej autentifikácie cez akékoľvek generickým dátový dopravy vrstvy, ako TCP/IP sockets. Preto SSPI umožňuje počítač, ktorý je spustený operačný systém Windows bezpečne delegovať token zabezpečenia používateľa z jedného počítača do druhého cez akékoľvek transportnou vrstvou, ktoré môžu prenášať surové bajtov údajov.

"Nemôžete vytvárať rozhrania SSPI" chyba je generovaný, keď SSPI overovanie Kerberos používa delegovať cez TCP/IP a overovanie Kerberos nie je možné dokončiť potrebné operácie úspešne delegovať token zabezpečenia používateľa do cieľového počítača, ktorý je spustený server SQL Server.
Prečo zabezpečenia podpory poskytovateľa rozhranie používa overenie pomocou štandardu NTLM alebo Kerberos
Overovanie Kerberos používa identifikátor s názvom "Service Principal Name" (SPN). SPN považovať domény alebo v doménovom lese jedinečný identifikátor niektoré inštancie v prostriedku servera. Môžete mať SPN pre webovú službu, službu SQL alebo pre službu SMTP. Viaceré inštancie webovej služby môžete mať tiež na rovnakom fyzickom počítači, ktorý má jedinečný SPN.

SPN pre SQL Server sa skladá z nasledujúcich prvkov:
  • ServiceClass: to určuje všeobecná trieda služieb. To je vždy MSSQLSvc pre SQL Server.
  • Hosť: Toto je plne kvalifikovaní domény názov DNS počítača, ktoré je spustený server SQL Server.
  • Port: Toto je číslo portu, ktorý načúva služby na.
Typické SPN pre počítač so spustenou službou SQL Server je napríklad takto:
MSSQLSvc/SQLSERVER1.northamerica.corp.mycompany.com:1433
Formát SPN pre predvolenú inštanciu a formát SPN pre pomenovanú inštanciu nie sú rôzne. Číslo portu je, aké vzťahy SPN na konkrétnu inštanciu.

Keď sa používa ovládač servera SQL Server na klienta integrované zabezpečenie pripojiť na server SQL Server, ovládač kód na strane klienta snaží vyriešiť plne kvalifikovaný DNS počítača so spustenou službou SQL Servera pomocou rozhrania WinSock API siete. Na vykonanie tejto operácie, kód vodiča volania gethostbyname a gethostbyaddr WinSock API. Aj keď ako je odovzdaný IP adresu alebo názov hostiteľa názov počítača, ktorý je spustený server SQL Server, SQL Server ovládač pokúsi vyriešiť plne kvalifikovaný DNS počítača, ak počítač používa integrované zabezpečenie.

Keď SQL Server ovládač na klienta rieši plne kvalifikovaný DNS počítača, ktorý je spustený server SQL Server, zodpovedajúce DNS sa používa k forme SPN pre tento počítač. Preto akékoľvek otázky ako IP adresu alebo názov hostiteľa je vyriešený k plne kvalifikovaný DNS podľa WinSock môže spôsobiť SQL Server ovládač vytvoriť neplatný SPN pre počítač, ktorý je spustený server SQL Server.

Napríklad neplatné SPNs, tvoriace ovládač SQL Server client-side môžete vyriešiť plne kvalifikovaný DNS sú takto:
  • MSSQLSvc / SQLSERVER1:1433
  • MSSQLSvc/123.123.123.123:1433
  • MSSQLSvc/SQLSERVER1.antartica.corp.mycompany.com:1433
  • MSSQLSvc/SQLSERVER1.dns.northamerica.corp.mycompany.com:1433
Keď SQL Server ovládač tvorí SPN, ktorý nie je platný, overovanie stále funguje, pretože rozhrania SSPI sa pokúsi vyhľadať SPN v adresárovej službe Active Directory a nenájde SPN. Ak rozhrania SSPI nenájde SPN, overovanie Kerberos nie je vykonaná. V tom okamihu vrstve rozhrania SSPI prepne na režim overenia NTLM a prihlásenie používa overenie pomocou štandardu NTLM a zvyčajne podarí. Ak SQL Server ovládač tvorí SPN, ktorý je platný, ale nie je priradená k vhodnej nádoby, sa pokúsi použiť SPN ale nemôže. To spôsobí, že "Nemôže generovať SSPI" chybové hlásenie. Ak je konto pri spustení servera SQL Server lokálne systémové konto, vhodné nádoby je názov počítača. Pre iný účet, je vhodné nádoby účte spustenie servera SQL Server. Pretože overenie sa pokúsi použiť prvý SPN, ktoré nájde, uistite sa, že sú bez SPNs priradené nesprávne kontajnerov. Inými slovami, každý SPN musí byť priradený k len jeden kontajner.

Kľúčovým faktorom, ktorý robí úspešné overenie protokolom Kerberos je platný funkčnosti DNS v sieti. Pomocou nástroja Ping príkazového riadka môžete overiť túto funkciu na klienta a server. Na klientskom počítači, spustite nasledujúci príkaz získať adresu IP servera, ktorý je spustený server SQL Server (kde názov počítača, ktorý je spustený server SQL Server je SQLServer1):
ping sqlserver1
Zistiť, či je nástroj Ping rieši plne kvalifikovaný DNS SQLServer1, spustite nasledujúci príkaz:
ping - Adresa IP
Napríklad:
C:\>ping SQLSERVER1

Pinging SQLSERVER1 [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
	
Ping statistics for 123.123.123.123:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms
C:\>ping -a 123.123.123.123
	
Pinging SQLSERVER1.northamerica.corp.mycompany.com [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Ping statistics for 123.123.123.123:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

C:\>
Keď príkaz ping - Adresa IP rieši správne plne kvalifikovaný DNS počítača, ktorý je spustený server SQL Server, client-side riešenia je aj úspešný.
Vytvorenie SQL Server hlavný názov služby
To je jeden z dôležitých častí overovanie Kerberos a SQL Server interakcie. SQL Server, môžete spustiť službu SQL Server pod jeden z nasledujúcich krokov: konto LocalSystem, lokálne používateľské konto alebo konto používateľa domény. Keď inštanciu služby SQL Server sa spustí, pokúsi sa zaregistrovať vlastný SPN služby Active Directory pomocou DsWriteAccountSpn API hovor. Ak hovor nie je úspešný, je nasledovné upozornenie prihlásený v programe Zobrazovač udalostí:

Zdroj: MSSQLServer EventID: 19011 Popis/kontrol: SuperSocket info: (SpnRegister): chyba 8344.

Pre viac informácie o funkcii DsWriteAccountSpn nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:
http://msdn2.Microsoft.com/en-us/library/ms676056.aspx
Zjednodušené vysvetlenie
Ak je spustená služba SQL Server pod kontom LocalSystem, SPN, je automaticky zapísaný a overovanie Kerberos úspešne komunikuje s počítačom, ktorý je spustený server SQL Server. Však ak spustiť službu SQL Server pod kontom domény alebo lokálneho konta, pokus o vytvorenie SPN zlyhá vo väčšine prípadov, pretože konto domény a lokálne konto nemá právo stanoviť vlastné SPNs. Keď SPN vytvorenie nie je úspešná, to znamená, že žiadne SPN je nastavený pre počítač, ktorý je spustený server SQL Server. Ak ste test s použitím konta správcu domény ako konto služby SQL Server, SPN bol úspešne vytvorený, pretože poverenia správcu-úrovni domény musíte vytvoriť SPN sú prítomné.

Preto možno nebudete môcť používať konto správcu domény na spustenie služby SQL Server (aby sa zabránilo riziku zabezpečenia), počítač so spustenou službou SQL Server nemôže vytvoriť svoj vlastný SPN. Je preto nutné vytvoriť manuálne SPN pre váš počítač, ktorý je spustený server SQL Server, ak chcete používať overovanie Kerberos po pripojení k počítaču, ktorý je spustený server SQL Server. To platí, ak používate SQL Server pomocou používateľského konta domény alebo lokálne používateľské konto. SPN vytvoríte musí byť priradené ku kontu služby služby SQL Server na danom konkrétnom počítači. SPN nemožno priradiť k kontajner počítača, ak počítač so spustenou službou SQL Server začína s lokálne systémové konto. Musí existovať jeden a iba jeden SPN, a musí byť priradený do vhodnej nádoby. Zvyčajne to je aktuálne konto služby SQL Server, ale to je účet kontajner počítača s lokálne systémové konto.
Zbaliť tento obrázokRozbaliť tento obrázok
assets folding end collapsed

Riešenie problému

Zbaliť tento obrázokRozbaliť tento obrázok
assets folding start collapsed
Táto sekcia obsahuje kroky, ktoré pomôžu zabezpečiť, že váš počítač nemala žiadne problémy SSPI.

Overiť doménu
Overiť, že domény ktoré prihlásení môžete komunikovať s domény, do ktorej patrí počítač so spustenou službou SQL Server. Musí tiež existovať správny názov rozlíšenie v doméne.
  1. Ste musia uistiť, že môžete úspešne prihlásení do systému Windows pomocou rovnakého konta domény a heslo ako účte spustenie služby SQL Server. Napríklad SSPI chyba sa môže vyskytnúť v jednom z nasledujúcich situácií:
    • Doménové konto je uzamknuté.
    • Heslo konta bol zmenený. Však ste nikdy reštartovať službu SQL Server, po heslo bolo zmenené.
  2. Ak prihlasovacej domény sa líši od domény počítača, ktorý je spustený server SQL Server, skontrolujte vzťah dôvery medzi doménami.
  3. Skontrolujte, či domény, ktorá patrí medzi serverom a domény konta, ktoré používate na pripojenie sú v rovnakom lese. Vyžaduje sa pre SSPI pracovať.
  4. Použitie Účet je dôveryhodný pre delegovanie možnosť v Active Directory Users a počítače pri spustení servera SQL Server.

    Poznámka "Účet je dôveryhodný pre delegovanie" práve sa vyžaduje, len keď sú delegovanie poverení z cieľového servera SQL na vzdialený server SQL ako Dvojlôžková hop scenár ako distribuovaný dotazov (dotazov, prepojený server), ktorý používa overovanie systému Windows.
  5. Použite manipulovať hlavné názvy služieb pre účty (SetSPN.exe) utility vo Windows 2000 Resource Kit. Kontá správcu domény systému Windows 2000 alebo Windows Server 2003 domény správcu kont môžete použiť pomôcku na kontrolu SPN, ktorá je priradená k službe a účet. Pre SQL Server, musí byť jeden a iba jeden SPN. SPN musí byť priradená do vhodnej nádoby, aktuálne konto služby SQL Server vo väčšine prípadov a konto počítača pri spustení servera SQL Server s lokálne systémové konto. Ak začnete servera SQL Server pri prihlásení s kontom LocalSystem, SPN je automaticky nastavený. Avšak, ak používate konta domény na štarte aplikácie SQL Server, alebo ak zmeníte konto, ktoré sa používa na spustenie servera SQL Server, musíte spustiť SetSPN.exe odstrániť skončila SPNs, a potom musíte pridať platnú SPN. Pre viac informácií, pozrite si tému "Bezpečnosť úvahy delegácia" v SQL Server 2000 Books Online. To urobiť, nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:
    http://msdn2.Microsoft.com/en-us/library/aa905162 (SQL.80) .aspx
    Ďalšie informácie o Windows 2000 Resource Kit nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:
    http://www.Microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx?mfr=true
  6. Overte, že názov rozlíšenie dochádza správne. Meno uznesenie metódy môžu zahŕňať DNS, WINS, hostitelia a Lmhosts súbory. Pre viac informácií o meno uznesenie problémy a riešenie problémov, po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
    169790Ako riešiť základné TCP/IP problémy
  7. Ďalšie informácie o riešení problémov s prístupnosti a firewall otázky so službou Active Directory, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
    291382Často kladené otázky o DNS systému Windows 2000 a Windows Server 2003 DNS
    224196 Obmedzenie prenosov služby Active Directory replication a prenosu RPC klienta do určitého prístavu
Konfigurácia služby SQL Server vytvoriť SPNs dynamicky inštancií SQL Server
Ak chcete nakonfigurovať službu SQL Server vytvoriť SPNs dynamicky, musíte zmeniť nastavenia riadenia prístupu konta v adresárovej službe Active Directory. Musíte prideliť povolenie na "Prečítajte si servicePrincipalName" a "Písať servicePrincipalName" povolenia pre konto služby SQL Server.

Upozornenie Ak používate modul snap-in Active Directory Service Interfaces (ADSI) Edit, pomôcku LDP alebo akékoľvek iné LDAP verzie 3 klientov a nesprávne zmeniť atribúty objektov služby Active Directory, môžete spôsobiť vážne problémy. Tieto problémy môžu vyžadovať preinštalovanie systému Windows Server 2003, Microsoft Windows 2000 Server, Microsoft Exchange Server 2003, Microsoft Exchange 2000 Server alebo Windows aj výmena. Nemôžeme zaručiť, že problémy spôsobené nesprávnou zmenou atribútov objektov služby Active Directory môžu byť vyriešené. Zmeniť tieto atribúty na vlastné riziko.

Poznámka Udeliť príslušné povolenia a používateľské práva na účte spustenie servera SQL Server, musíte sa prihlásiť ako správca domény, alebo musíte požiadať správcu domény na vykonanie tejto úlohy.

Konfigurácia služby SQL Server vytvoriť SPNs dynamicky, postupujte nasledovne:
  1. Kliknite na tlačidlo Štart, kliknite na tlačidlo Spustiť, typ Adsiedit.msc, a potom kliknite na tlačidlo ok.
  2. Nástroj ADSI Edit modulu, rozbaľte Doménu [DomainName], rozbaľte DC = RootDomainName, rozbaľte CN = Users, kliknite pravým tlačidlom myši KN = AccountName, a potom kliknite na tlačidlo Vlastnosti.

    Poznámky
    • DomainName je zástupný symbol pre meno domény.
    • RootDomainName je zástupný symbol pre meno koreňovej domény.
    • AccountName je zástupný symbol pre konto, ktoré zadáte na spustenie služby SQL Server.
    • Ak zadáte lokálne systémové konto na spustenie služby SQL Server, AccountName je zástupný symbol pre konto, ktoré používate na prihlásenie do systému Microsoft Windows.
    • Ak zadáte konto používateľa domény spustiť službu SQL Server AccountName je zástupný symbol pre konto používateľa domény.
  3. V KN = AccountName Vlastnosti dialógové okno, kliknite na tlačidlo Bezpečnosť kartu.
  4. Na Bezpečnosť karte, kliknite na tlačidlo Rozšírené.
  5. V Rozšírené bezpečnostné nastavenia dialógové okno, uistite sa, že SAMOSTATNE je zaradený Položky povolenia.

    Ak SAMOSTATNE sa nenachádza v zozname, kliknite na tlačidlo Pridať, a potom pridať SAMOSTATNE.
  6. Podľa Položky povolenia, kliknite na tlačidlo SAMOSTATNE, a potom kliknite na tlačidlo Upraviť.
  7. V Povolenie vstupu dialógové okno, kliknite na tlačidlo Vlastnosti kartu.
  8. Na Vlastnosti karte, kliknite na tlačidlo Iba tento objekt v Uplatňovať na Zoznam, a potom uistite sa, či sú začiarknuté políčka pre nasledujúce povolenia podľa Povolenia:
    • Prečítajte si servicePrincipalName
    • Písať servicePrincipalName
  9. Kliknite na tlačidlo ok trikrát, a potom exit ADSI Edit modulu.
Pomocníka pre tento proces, kontaktujte technickú podporu služby Active Directory, a uviesť tento článok databázy Microsoft Knowledge Base.

Dôležité Odporúčame, že ste neprideľujte WriteServicePrincipalName právo konto služby SQL pri sú splnené nasledovné podmienky:
  • Existujú viaceré radiče domény.
  • Server SQL Server klastrované.
V tomto scenári, SPN pre SQL Server môžu byť zmazané pretože latencia pri replikácii v službe Active Directory. To môže spôsobiť problémy s pripojením na inštanciu servera SQL Server.

Predpokladajme, že máte takto:
  • Virtuálne inštancia SQL s názvom Sqlcluster s dvoma uzlami: uzol A a B. uzol
  • Uzol A je overený radič domény A a B uzla je overený radič domény B.


Takto môže dôjsť:
  1. Sqlcluster stupňa pôsobí na uzol A a registrované SPN SQL v radič domény A pri spustení hore...
  2. Sqlcluster stupňa nedokáže cez uzol B keď uzol A vypnutie normálne.
  3. Sqlcluster stupňa registrácia zrušiť jeho SPN z radiča domény A počas vypínaním na uzle A.
  4. SPN je odstránený z radiča domény A ale zmena ešte nebol replikovaný na radič domény B.
  5. Pri spúšťaní na uzol B, Sqlcluster stupňa snaží SQL SPN zaregistrovať radiča domény B. Vzhľadom k tomu, SPN stále existuje uzol B neregistruje SPN.
  6. Po nejakej dobe, radič domény A replikuje vypustenie SPN (od kroku 3) k radiču domény B ako súčasť replikácia služby Active Directory. Konečným výsledkom je, že žiadny platný SPN existuje inštancia SQL v doméne a teda vidíte problémy s pripojením sa Sqlcluster inštancie.

Poznámka Tento problém je opravený v SQL Server 2012.
Overenie servera životné prostredie
Skontrolujte, či niektoré základné nastavenia v počítači, kde je SQL Server nainštalovaný:
  1. Overovanie Kerberos nie je podporovaná na počítačoch so systémom Windows 2000 spustené služba Windows Clustering pokiaľ ste použili Service Pack 3 (alebo novšia verzia) na Windows 2000. Preto akýkoľvek pokus o použitie rozhrania SSPI overovanie na skupinový inštanciu programu SQL Server môže zlyhať. Pre viac informácií, kliknite na tlačidlo nasledujúce číslo článku čím zobrazíte článok v databáze Microsoft Knowledge Base:
    235529Podpory overovania Kerberos klastrov so systémom Windows 2000 server
  2. Overiť, že server je spustený systém Windows 2000 Service Pack 1 (SP1). Pre viac informácií o podpory overovania Kerberos na servery so systémom Windows 2000, kliknite na tlačidlo na nasledovné číslo článku zobrazte článok v Microsoft Knowledge Base:
    267588"Nemôžete vytvárať rozhrania SSPI" chybové hlásenie sa zobrazí, keď sa pripájate k SQL Server 2000
  3. V klastri, ak účet, ktorý používate na spustenie servera SQL, SQL Server Agent, alebo full-textové vyhľadávanie služby zmeny, ako napríklad nové heslo, postupujte kroky, ktoré sú uvedené v nasledovnom článku databázy Microsoft Knowledge Base:
    239885 Ako zmeniť kontá služby pre skupinový počítač so spustenou službou SQL Server
  4. Overte, či konto, ktoré používate na spustenie servera SQL Server príslušné povolenia. Ak používate účet, ktorý nie je členom lokálnej skupiny Administrators, pozri "Nastavenie up Windows služby účty" tému v zdroji SQL Server Books Online pre podrobný zoznam povolení, ktoré toto konto musí mať:
    http://msdn2.Microsoft.com/en-us/library/aa176564 (SQL.80) .aspx
Overenie klienta prostredia
Overenie v nadväznosti na klienta:
  1. Uistite sa, že NTLM poskytovateľa zabezpečenia podpory je správne nainštalovaný a zapnutý na strane klienta. Pre viac informácií, kliknite na tlačidlo na nasledovné číslo článku zobrazte článok v Microsoft Knowledge Base:
    269541Chybové hlásenie pri pripojení k serveru SQL Server, ak chýba kľúč databázy registry systému Windows NT LM Security Support Provider: "nemôžete vytvárať rozhrania SSPI"
  2. Zistiť, či používate poverenia. Ak ste sa prihlásili klienta pomocou poverení uložených vo vyrovnávacej pamäti, odhláste sa z počítača a potom prihlásiť späť keď sa pripojiť na radič domény, aby sa zabránilo vyrovnávacej pamäte poverenia používané. Ďalšie informácie o tom, ako určiť, či používate poverenia, kliknite na tlačidlo nasledujúci článok číslo zobrazíte článok v databáze Microsoft Knowledge Base:
    242536Užívateľ nie je upozornený, keď poverenia z vyrovnávacej pamäte prihlásenie na doméne
  3. Overte, či sú platné dáta na klienta a server. Ak dáta sú príliš ďaleko od seba, certifikáty sa môžu považovať za neplatné.
  4. SSPI používa súbor s názvom Security.dll. Ak iná aplikácia nainštaluje súbor, ktorý používa tento názov, iný súbor možno namiesto skutočného súboru rozhrania SSPI. Pre viac informácií, kliknite na nasledovné číslo článku zobrazte článok v Microsoft Knowledge Base:
    253577Chyba: 80004005 - MS ODBC SQL Server vodič rozhrania SSPI sa nedá inicializovať.
  5. Ak je operačný systém na strane klienta Microsoft Windows 98, musíte nainštalovať súčasť Client for Microsoft Networks na strane klienta. Pre viac informácií, kliknite na tlačidlo na nasledovné číslo článku zobrazte článok v Microsoft Knowledge Base:
    267550Chyba: "nepodarilo tvrdenie" keď sa pripojíte k SQL serveru cez TCP/IP
Overenie klienta siete nástroj
Client Network Utility (zamestnanosti) je dodávaná spolu s Microsoft Data Access Components (MDAC) a to sa používa na konfigurovanie pripojenia na počítačoch so systémom SQL Server. Konfigurovať pripojenie môžete použiť pomôcku MDAC Cliconfg.exe zamestnanosti:
  1. Na Všeobecné kartu, tak protokoly sú definované líši podľa verziu súčasti MDAC. S predchádzajúcimi verziami súčasti MDAC, Môžete si vybrať protokol "default". Na najnovšiu verziu súčasti MDAC, môžete Zapnutie jedného alebo viacerých protokolov s jedným v hornej časti zoznamu pripojení na server SQL Server. Pretože rozhrania SSPI sa vzťahuje len na TCP/IP, môžete použiť iný protokolu, napríklad Named Pipes, aby sa zabránilo chybe.
  2. Skontrolujte, či Alias kartu v zamestnanosti na overenie, že je alias definovaný pre server, ktorý sa pokúšate pripojiť. Ak je definovaný alias servera, skontrolujte nastavenia pre ako tento počítač je nakonfigurovaný na pripojenie na server SQL Server. Môžete overiť odstránením aliasu servera vidieť, či zmeny správania.
  3. Ak alias servera nie je definovaný na zamestnanosti, pridajte alias servera, ku ktorému sa pripájate. Keď spustíte túto úlohu, sú tiež výslovne definuje protokol a voliteľne definovanie IP adresu a port.
Manuálne nastaviť hlavný názov služby SQL Server
Ďalšie informácie o tom, ako ručne nastaviť hlavný názov služby pre SQL Server nájdete po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
319723Ako používať overovanie Kerberos v SQL Server
Zabezpečenia podpory poskytovateľa rozhranie (SSPI) je rozhranie pre Microsoft Windows NT zabezpečenia, ktorý sa používa na overovanie Kerberos, a podporuje schéma overenia NTLM poskytovateľa zabezpečenia podpory. Overovanie sa vyskytuje na úrovni operačného systému pri prihlásení na doménu systému Windows. Overovanie Kerberos je k dispozícii len na počítačoch so systémom Windows 2000 ktoré majú overovanie Kerberos zapnuté a ktoré sú pomocou služby Active Directory.

SSPI sa používa len pre pripojenia TCP/IP, ktoré sú vyrobené pomocou overovania systémom Windows. Overovanie systémom Windows je tiež známy ako dôveryhodné pripojenie alebo integrované zabezpečenie. SSPI nepoužíva pomenovaných presmerovaní alebo multi-spojenie. Preto sa môžete vyhnúť problému konfigurácia klientov na pripojenie z protokol ako protokol TCP/IP.

Keď SQL Klient servera sa pokúsi použiť integrované zabezpečenie cez TCP/IP sockets Remote počítač so spustenou službou SQL Server, SQL Server client Sieťová knižnica používa SSPI API vykonávať bezpečnostné delegácie. SQL Server siete klienta (Dbnetlib.dll) zavolá funkciu AcquireCredentialsHandle a prechádza v "vyjednávať", pre pszPackage parameter. To upozorní podkladových poskytovateľa zabezpečenia vykonávať rokovanie delegácie. V tejto súvislosti rokovať znamená vyskúšať Kerberos alebo NTLM authentication na počítače so systémom Windows. Inými slovami, systém Windows používať delegovanie Kerberos, ak cieľový počítač so spustenou službou SQL Server má pridružený, správne nakonfigurovaný SPN. V opačnom prípade Windows použitie NTLM delegácie.

Poznámka Overiť, že nepoužívate konto s názvom "Systém" začať akékoľvek služby SQL Server (MSSQLServer, SQLServerAgent, MSSearch). Na kľúčové slová systému môže spôsobiť konflikty s distribučné centrum kľúčov (KDC).
Zbaliť tento obrázokRozbaliť tento obrázok
assets folding end collapsed

Zhromažďovať informácie k otvoreniu prípadu Microsoft zákazníka podpora (CSS)

Zbaliť tento obrázokRozbaliť tento obrázok
assets folding start collapsed
Ak nemôžete získať príčinou problému pomocou kroky na riešenie problémov v tomto článku, zbierať nasledujúce informácie a otvoriť prípad Microsoft zákazníka podpora (CSS).

Pre úplný zoznam Microsoft Zákaznícka podpora telefónne čísla a informácie o náklady na technickú podporu, prejdite na webovej lokalite spoločnosti Microsoft:
http://support.Microsoft.com/contactus/?ws=support
  1. Generovať zostavu sqldiag zo servera SQL Server. Pre viac informácie nájdete "sqldiag pomôcka" téme v SQL Server Books Online.
  2. Capture screen shot chyba na strane klienta.
  3. Otvorte príkazový riadok na uzle, ktoré nemôže pripojiť na server SQL Server, a potom zadajte nasledujúci príkaz:
    net start > started.txt
    Tento príkaz vytvorí súbor s názvom Started.txt v adresári kde ste spustiť príkaz.
  4. Uloženie hodnoty kľúča databázy registry pod nasledovným kľúčom databázy registry v klientskom počítači:
    HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSQLSERVER\CLIENT\CONNECTTO
  5. V klastrovanom prostredí, nájsť hodnotu nasledovný kľúč databázy registry pre každého uzla klastra:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel
  6. V klastrovanom prostredí, vidieť, či existuje nasledujúci kľúč databázy registry na každý Klastrový uzol servera:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLMSsp
  7. Zachytiť výsledky, ak sa pripájate na server SQL Server pomocou Univerzálne pomenovanie názov (UNC) (alebo SQL názov siete na klastri) od klienta.
  8. Zachytiť výsledky, ak ste ping názov počítača (alebo SQL názov siete na klastri) od klienta.
  9. Uložiť názov používateľské kontá, ktoré sa používa na spustenie každej jednej služby SQL Server (MSSQLServer, SQLServerAgent, MSSearch).
  10. Technickej podpory musia vedieť, či server SQL Server je nakonfigurovaný pre zmiešaného overovania alebo iba overovanie systémom Windows.
  11. Pozrite sa, či môžete pripojiť k počítaču, ktorý je spustený server SQL Server od rovnakého klienta použitím overenia serverom SQL Server.
  12. Pozrite sa, či môžete pripojiť pomocou nastavení protokol Named Pipes.

Referencie

Ďalšie informácie o tom, ako Kerberos overenie a SSPI bezpečnosť práce, kliknite na nasledovné číslo článku, čím zobrazíte články v Microsoft Knowledge Base:
266080Odpovede na často kladené otázky overovania Kerberos
231789 Miestne prihlásenie proces pre systém Windows 2000
304161 Vzájomná autentifikácia rozhrania SSPI je uvedená na strane klienta, ale nie na strane servera
232179 Správa modulu Kerberos v systéme Windows 2000
230476 Opis spoločných chýb súvisiacich s protokolom Kerberos v systéme Windows 2000
262177 Povolenie zapisovania do denníka udalostí protokolu Kerberos
277658 Setspn zlyhá ak názov domény sa líši od kde SQL Server SPN je registrovaný názov NetBIOS
244474 Postup pri vynútení používania protokolu TCP namiesto protokolu UDP protokolom v systéme Windows Server 2003, Windows XP a Windows 2000
Biela kniha o zabezpečení Microsoft SQL Server 2000, nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:
http://technet.Microsoft.com/en-US/cc984178.aspx
Zbaliť tento obrázokRozbaliť tento obrázok
assets folding end collapsed

Vlastnosti

ID článku: 811889 - Posledná kontrola: 11. júla 2013 - Revízia: 5.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL 2005 Server Enterprise
  • Microsoft SQL 2005 Server Workgroup
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Enterprise Evaluation
  • Microsoft SQL Server 2008 Express
  • Microsoft SQL Server 2008 Express with Advanced Services
  • Microsoft SQL Server 2008 R2 Datacenter
  • Microsoft SQL Server 2008 R2 Developer
  • Microsoft SQL Server 2008 R2 Enterprise
  • Microsoft SQL Server 2008 R2 Express
  • Microsoft SQL Server 2008 R2 Express with Advanced Services
  • Microsoft SQL Server 2008 R2 Integration Services
  • Microsoft SQL Server 2008 R2 Standard
  • Microsoft SQL Server 2008 R2 Standard Edition for Small Business
  • Microsoft SQL Server 2008 R2 Web
  • Microsoft SQL Server 2008 R2 Workgroup
  • Microsoft SQL Server 2008 Reporting Services
  • Microsoft SQL Server 2008 Standard
  • Microsoft SQL Server 2008 Standard Edition for Small Business
  • Microsoft SQL Server 2008 Web
  • Microsoft SQL Server 2008 Workgroup
  • Microsoft SQL Server 2012 Developer
  • Microsoft SQL Server 2012 Enterprise
  • Microsoft SQL Server 2012 Express
  • Microsoft SQL Server 2012 Standard
  • Microsoft SQL Server 2012 Web
  • SQL Server 2012 Enterprise Core
Kľúčové slová: 
kbsqlsetup kbhowtomaster kbhowto kbsmbportal kbmt KB811889 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 811889

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com