วิธีการแก้ไขปัญหาข้อความแสดงข้อผิดพลาด "ไม่สามารถสร้างบริบท SSPI ได้"

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 811889 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

การทำความเข้าใจเกี่ยวกับปัญหา

ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding start collapsed
ส่วนนี้ให้ข้อมูลพื้นหลังบนเหตุใดข้อความแสดงข้อผิดพลาด "ไม่สามารถสร้างบริบท SSPI ได้" เกิดขึ้นและวิธีการแก้ไขปัญหาข้อผิดพลาด คุณอาจได้รับข้อความแสดงข้อผิดพลาดนี้หากมีเงื่อนไขต่อไปนี้:
  • คุณกำลังเชื่อมต่อกับ Microsoft SQL Server
  • คุณกำลังใช้การรักษาความปลอดภัยรวม
  • การรับรองความถูกต้อง Kerberos จะใช้การรักษาความปลอดภัยการมอบหมาย
การทำความเข้าใจเกี่ยวกับคำศัพท์ Kerberos และชื่อบริการหลัก
โปรแกรมควบคุม SQL Server บนคอมพิวเตอร์แบบไคลเอ็นต์ใช้ความปลอดภัยแบบรวมการใช้โทเค็นการรักษาความปลอดภัย Windows บัญชีผู้ใช้ในการเชื่อมต่อกับคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server เสร็จเรียบร้อยแล้ว โทเค็นการรักษาความปลอดภัยของ Windows ถูกมอบหมายจากไคลเอนต์ไปยังคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server โปรแกรมควบคุม SQL Server ดำเนินการมอบหมายนี้เมื่อโทเค็นการรักษาความปลอดภัยของผู้ใช้ที่ถูกมอบจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีก โดยใช้การตั้งค่าคอนฟิกต่อไปนี้อย่างใดอย่างหนึ่ง:
  • NTLM ผ่านเนมไปป์ (ไม่ได้ใช้อินเทอร์เฟสผู้ให้บริการการสนับสนุนความปลอดภัย [SSPI])
  • NTLM ผ่าน TCP/IP sockets กับ SSPI
  • รับรองความถูกต้อง Kerberos ผ่าน TCP/IP sockets กับ SSPI
อินเทอร์เฟซสำหรับผู้ให้บริการสนับสนุนของความปลอดภัย (SSPI) คือ ชุดของ Windows APIs ที่อนุญาตให้มีการรับรองความถูกต้องการมอบหมายและ mutual เหนือชั้นใด ๆ ข้อมูลทั่วไปขนส่งของ เช่น TCP/IP sockets ดังนั้น SSPI อนุญาตสำหรับคอมพิวเตอร์ที่กำลังเรียกใช้ระบบปฏิบัติการ Windows เมื่อต้องการได้อย่างปลอดภัยมอบโทเค็นความปลอดภัยของผู้ใช้จากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเหนือชั้นของการขนส่งใด ๆ ที่สามารถส่งผ่านข้อมูลไบต์ raw

ข้อผิดพลาด "ไม่สามารถสร้างบริบท SSPI ได้" จะถูกสร้างขึ้นเมื่อ SSPI ใช้การรับรองความถูกต้อง Kerberos จะมอบหมายผ่าน TCP/IP และการรับรองความถูกต้อง Kerberos ไม่สามารถทำการดำเนินงานที่จำเป็นเพื่อรับ token ความปลอดภัยของผู้ใช้ไปยังคอมพิวเตอร์ปลายทางที่กำลังเรียกใช้ SQL Server ที่มอบหมายเสร็จเรียบร้อยแล้ว
เหตุใดอินเทอร์เฟซสำหรับผู้ให้การสนับสนุนความปลอดภัยใช้การรับรองความถูกต้อง NTLM หรือ Kerberos
การรับรองความถูกต้อง Kerberos ใช้ตัวระบุชื่อ "บริการหลัก" ชื่อ (SPN) พิจารณาการ SPN เป็นโดเมนหรือฟอเรสต์รหัสเฉพาะของบางอย่างในเซิร์ฟเวอร์ทรัพยากร คุณสามารถกำหนดข้อ SPN สำหรับบริการเว็บ สำหรับบริการ SQL หรือ สำหรับการบริการ SMTP คุณยังสามารถมีหลายอินสแตนซ์ของบริการเว็บบนคอมพิวเตอร์ทางกายภาพเดียวกันที่มี SPN ไม่ซ้ำกันด้วย

มี SPN สำหรับ SQL Server จะประกอบด้วยองค์ประกอบต่อไปนี้:
  • ServiceClass: นี้ระบุคลาสของการบริการทั่วไป ซึ่งเป็นเสมอ MSSQLSvc สำหรับ SQL Server
  • โฮสต์: นี่คือโดเมนที่ครบถ้วนชื่อ DNS ของคอมพิวเตอร์ที่ กำลังเรียกใช้ SQL Server
  • พอร์ต: นี่คือหมายเลขพอร์ตที่บริการกำลังรับฟังบน
ตัวอย่างเช่น SPN โดยทั่วไปสำหรับคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server จะเป็นดังนี้:
MSSQLSvc/SQLSERVER1.northamerica.corp.mycompany.com:1433
รูปแบบของข้อ SPN สำหรับอินสแตนซ์ที่เริ่มต้นและรูปแบบของข้อ SPN สำหรับ อินสแตนซ์ที่มีชื่อจะไม่แตกต่างกัน หมายเลขพอร์ตเป็นสิ่งที่ผนวกการ SPN เพื่อเป็น อินสแตนซ์ที่เฉพาะเจาะจง

เมื่อคุณใช้โปรแกรมควบคุมของ SQL Server บนไคลเอนต์ รักษาความปลอดภัยแบบรวมการเชื่อมต่อกับ SQL Server รหัสโปรแกรมควบคุมบนไคลเอนต์ ความพยายามที่แก้ปัญหา DNS ครบถ้วนของคอมพิวเตอร์ที่กำลังเรียกใช้ SQL เซิร์ฟเวอร์ โดยใช้เครือข่าย APIs WinSock เมื่อต้องการดำเนินการนี้ การ โปรแกรมควบคุมรหัสเรียกgethostbynameและgethostbyaddr WinSock APIs แม้ว่าจะมี IP แอดเดรสหรือโฮสต์ชื่อจะถูกส่งผ่านเป็นการ ชื่อของคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server, SQL Server โปรแกรมควบคุม พยายามที่จะ แก้ไข DNS ครบถ้วนของคอมพิวเตอร์ถ้าคอมพิวเตอร์ที่ใช้ รักษาความปลอดภัยแบบรวม

เมื่อโปรแกรมควบคุมของ SQL Server บนไคลเอนต์สามารถแก้ไข DNS ครบถ้วนของคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server, DNS ที่สอดคล้องกันถูกใช้เพื่อสร้างการ SPN สำหรับคอมพิวเตอร์นี้ ดังนั้น ปัญหาต่าง ๆ เกี่ยวกับวิธีรับการแก้ไขการ DNS ที่ครบถ้วน โดย WinSock ชื่อโฮสต์หรือที่อยู่ IP อาจทำให้โปรแกรมควบคุมของ SQL Server เพื่อสร้าง SPN ไม่ถูกต้องสำหรับคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server

ตัวอย่างเช่น ไม่ถูกต้อง SPNs ที่ฝั่งไคลเอ็นต์ SQL Server โปรแกรมควบคุมสามารถเป็น DNS ครบถ้วนแก้ไขมีดังนี้:
  • MSSQLSvc / SQLSERVER1:1433
  • MSSQLSvc/123.123.123.123:1433
  • MSSQLSvc/SQLSERVER1.antartica.corp.mycompany.com:1433
  • MSSQLSvc/SQLSERVER1.dns.northamerica.corp.mycompany.com:1433
เมื่อโปรแกรมควบคุมของ SQL Server ที่ใช้มี SPN ที่ไม่ถูกต้อง รับรองความถูกต้องยังคงทำงานได้เนื่องจากอินเทอร์เฟซสำหรับ SSPI พยายามค้นหา SPN อยู่ในบริการไดเรกทอรี Active Directory และจะไม่ค้นหา SPN ถ้าอินเทอร์เฟซสำหรับ SSPI ไม่พบการ SPN การรับรองความถูกต้อง Kerberos จะไม่เกิดขึ้น ซึ่งจุด ชั้น SSPI การสลับไปยังโหมดการรับรองความถูกต้องของ NTLM และการเข้าสู่ระบบใช้การรับรองความถูกต้องของ NTLM และโดยทั่วไปสำเร็จ ถ้าโปรแกรมควบคุมของ SQL Server ใช้การ SPN ที่ถูกต้อง แต่ไม่ได้ถูกกำหนดไปยังคอนเทนเนอร์ที่เหมาะสม พยายามที่จะใช้ SPN แต่ไม่ ซึ่งทำให้ข้อความข้อผิดพลาด "ไม่สามารถสร้างบริบท SSPI ได้" ถ้า บัญชี local system เป็นบัญชีเริ่มต้น SQL Server คอนเทนเนอร์ที่เหมาะสมคือ ชื่อคอมพิวเตอร์ สำหรับบัญชีอื่น คอนเทนเนอร์ที่เหมาะสมที่เป็นบัญชีเริ่มต้นเซิร์ฟเวอร์ SQL เนื่องจากการรับรองความถูกต้องจะพยายามใช้ SPN แรกที่จะค้นหา ตรวจสอบให้แน่ใจว่า จะไม่มี SPNs ที่กำหนดให้กับคอนเทนเนอร์ไม่ถูกต้อง กล่าว แต่ละ SPN ต้องถูกกำหนดให้คอนเทนเนอร์เดียวเท่า นั้นที่หนึ่ง

ปัจจัยหลักที่ทำให้การรับรองความถูกต้อง Kerberos ที่ประสบความสำเร็จคือ การทำงาน DNS ที่ถูกต้องบนเครือข่าย คุณสามารถตรวจสอบฟังก์ชันการทำงานนี้บนไคลเอนต์และเซิร์ฟเวอร์ โดยใช้โปรแกรมอรรถประโยชน์การพรอมต์คำสั่ง Ping บนคอมพิวเตอร์ไคลเอนต์ เรียกใช้คำสั่งต่อไปนี้เพื่อขอรับอยู่ IP ของเซิร์ฟเวอร์ที่กำลังเรียกใช้ SQL Server (โดยที่ชื่อของคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server คือ SQLServer1):
ping sqlserver1
เมื่อต้องการดูว่า โปรแกรมอรรถประโยชน์การ Ping แก้ที่ครบถ้วน DNS ของ SQLServer1 เรียกใช้คำสั่งต่อไปนี้:
แก้ไข- IPAddress
ตัวอย่าง:
C:\>ping SQLSERVER1

Pinging SQLSERVER1 [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
	
Ping statistics for 123.123.123.123:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms
C:\>ping -a 123.123.123.123
	
Pinging SQLSERVER1.northamerica.corp.mycompany.com [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Ping statistics for 123.123.123.123:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

C:\>
เมื่อคำสั่ง แก้ไข- IPAddress แก้ให้ถูกต้อง DNS ครบถ้วนของคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server ความละเอียดฝั่งไคลเอ็นต์จะประสบความสำเร็จ
การสร้างชื่อบริการหลักของเซิร์ฟเวอร์ SQL
นี่คือส่วนสำคัญของการรับรองความถูกต้องของ Kerberos และการโต้ตอบ SQL Server อย่างใดอย่างหนึ่ง กับ SQL Server คุณสามารถเรียกใช้บริการ SQL Server ภายใต้หนึ่งต่อไปนี้: บัญชี LocalSystem บัญชีผู้ใช้ภายใน หรือบัญชีผู้ใช้โดเมนได้ เมื่อเริ่มต้นอินสแตนซ์ของบริการ SQL Server จะพยายามลงทะเบียน SPN ของตนเองในไดเรกทอรีที่ใช้งานอยู่ โดยใช้การเรียกDsWriteAccountSpn API ถ้ามีการเรียกไม่ประสบความสำเร็จ คำเตือนต่อไปนี้คือ เข้าสู่ระบบใน Event Viewer:

แหล่งที่มา: MSSQLServer EventID: 19011 คำอธิบาย: SuperSocket ข้อมูล: (SpnRegister): 8344 ข้อผิดพลาด

สำหรับข้อมูลเพิ่มเติม ข้อมูลเกี่ยวกับการทำงานของDsWriteAccountSpnไปยังเว็บไซต์ของ Microsoft ต่อไปนี้:
http://msdn2.microsoft.com/en-us/library/ms676056.aspx
คำอธิบายอย่างง่าย
ถ้าคุณเรียกใช้บริการ SQL Server ภายใต้บัญชี LocalSystem, SPN ลงทะเบียนโดยอัตโนมัติ และการรับรองความถูกต้อง Kerberos เสร็จเรียบร้อยแล้วโต้ตอบกับคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server อย่างไรก็ตาม ถ้าคุณเรียกใช้บริการ SQL Server ภาย ใต้บัญชีโดเมน หรือภาย ใต้บัญชีแบบท้องถิ่น ความพยายามในการสร้าง SPN จะล้มเหลวในกรณีส่วนใหญ่เนื่องจากบัญชีโดเมนและบัญชีภายในเครื่องไม่มีสิทธิ์ในการตั้งค่า SPNs ของตนเอง เมื่อการสร้าง SPN ไม่ประสบความสำเร็จ ซึ่งหมายความ ว่า ไม่มี SPN มีตั้งค่าสำหรับคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server ถ้าคุณทำทดสอบ โดยใช้บัญชีผู้ดูแลโดเมนเป็นบัญชีบริการ SQL Server, SPN ไม่สำเร็จกันเนื่องจากข้อมูลประจำตัวของโดเมนระดับผู้ดูแลที่คุณต้องมีเพื่อสร้างการ SPN มีอยู่

เนื่องจากคุณไม่อาจใช้บัญชีผู้ดูแลโดเมนเพื่อเรียกใช้บริการ SQL Server (เพื่อป้องกันความเสี่ยงด้านความปลอดภัย), เครื่องคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server ไม่สามารถสร้าง SPN ของตนเอง ดังนั้น คุณต้องสร้างด้วยตนเองมี SPN สำหรับคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server ถ้าคุณต้องการใช้การรับรองความถูกต้องของ Kerberos เมื่อคุณเชื่อมต่อกับคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server นี้เป็นจริงถ้าคุณกำลังเรียกใช้ SQL Server ภาย ใต้บัญชีผู้ใช้โดเมน หรือภาย ใต้บัญชีผู้ใช้ท้องถิ่น ต้องกำหนด SPN คุณสร้างบัญชีผู้ใช้บริการของบริการ SQL Server บนคอมพิวเตอร์เครื่องนั้น ไม่สามารถกำหนด SPN ที่คอนเทนเนอร์คอมพิวเตอร์ยกเว้นว่าคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server Start ด้วยบัญชี local system ต้องมี SPN หนึ่งเดียวเท่า นั้น และจะต้องถูกกำหนดให้กับที่เก็บที่เหมาะสม โดยทั่วไป นี้เป็นบัญชีบริการ SQL Server ปัจจุบัน แต่นี่คือที่เก็บบัญชีคอมพิวเตอร์ ด้วยบัญชี local system
ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding end collapsed

การแก้ไขปัญหา

ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding start collapsed
ส่วนนี้แสดงขั้นตอนเพื่อให้แน่ใจว่า คอมพิวเตอร์ของคุณไม่พบปัญหาใด ๆ SSPI

ตรวจสอบโดเมน
ตรวจสอบว่า โดเมนที่คุณเข้าสู่ระบบสามารถสื่อสารกับโดเมนที่คอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server เป็นสมาชิก ต้องมีความละเอียดของชื่อที่ถูกต้องในโดเมน
  1. คุณต้องตรวจสอบให้แน่ใจว่า คุณสามารถสำเร็จสู่ระบบ Windows โดยใช้บัญชีโดเมนและรหัสผ่านเดียวกันเป็นบัญชีเริ่มต้นของการบริการเซิร์ฟเวอร์ SQL ตัวอย่างเช่น ข้อผิดพลาด SSPI อาจเกิดขึ้นในสถานการณ์ต่อไปนี้อย่างใดอย่างหนึ่ง:
    • บัญชีโดเมนถูกปิดใช้งาน
    • รหัสผ่านของบัญชีถูกเปลี่ยนแปลง อย่างไรก็ตาม คุณไม่ต้องเริ่มบริการ SQL Server หลังจากที่มีเปลี่ยนรหัสผ่านใหม่
  2. ถ้าโดเมนของคุณเข้าสู่ระบบที่แตกต่างจากโดเมนของคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server ตรวจสอบความสัมพันธ์ของความน่าเชื่อถือระหว่างโดเมนหรือไม่
  3. ตรวจสอบว่า โดเมนที่เป็นของเซิร์ฟเวอร์และบัญชีโดเมนที่คุณใช้การเชื่อมต่ออยู่ในฟอเรสต์เดียวกันหรือไม่ นี่เป็นสิ่งจำเป็นสำหรับ SSPI เพื่อทำงาน
  4. ใช้ปุ่ม บัญชีจะเชื่อถือได้สำหรับการมอบหมาย ตัวเลือกในผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์เมื่อคุณเริ่มการทำงานของ SQL Server

    หมายเหตุ ' บัญชีเป็นที่เชื่อถือได้สำหรับการมอบหมาย ' ขวาจำเป็นเฉพาะเมื่อคุณมีการมอบหลักฐานอ้างอิงจากเซิร์ฟเวอร์ SQL เป้าหมายกับ SQL server ระยะไกลเช่นในสถานการณ์สมมติฮอพคู่ต้องการแจกจ่ายแบบสอบถาม (แบบสอบถามเซิร์ฟเวอร์ที่ถูกเชื่อมโยง) ที่ใช้การรับรองความถูกต้องของ Windows
  5. ใช้ชื่อบริการหลักจัดการสำหรับโปรแกรมอรรถประโยชน์ของบัญชี (SetSPN.exe) ใน Resource Kit การ Windows 2000 บัญชีผู้ดูแลโดเมน Windows 2000 หรือบัญชีผู้ดูแลโดเมน Windows Server 2003 สามารถใช้โปรแกรมอรรถประโยชน์นี้เพื่อควบคุมการ SPN ที่ถูกกำหนดให้กับบริการและบัญชีผู้ใช้ สำหรับ SQL Server ต้องมี SPN หนึ่งสอง และเดียวเท่านั้น SPN ต้องถูกกำหนดให้กับที่เก็บที่เหมาะสม บัญชีบริการ SQL Server ปัจจุบันในกรณีส่วนใหญ่ และบัญชีคอมพิวเตอร์เมื่อ SQL Server เริ่มทำงานกับบัญชี local system ถ้าคุณเริ่ม SQL Server ในขณะที่เข้าสู่ระบบ ด้วยบัญชี LocalSystem, SPN ถูกตั้งค่าโดยอัตโนมัติ อย่างไรก็ตาม ถ้าคุณใช้บัญชีโดเมนเพื่อเริ่ม SQL Server หรือเมื่อคุณเปลี่ยนบัญชีที่ใช้ในการเริ่มต้นเซิร์ฟเวอร์ SQL คุณต้องรัน SetSPN.exe เพื่อเอา SPNs ที่หมดอายุแล้ว และจากนั้น คุณต้องเพิ่ม SPN ถูกต้อง สำหรับข้อมูลเพิ่มเติม ดูหัวข้อ "การมอบหมายบัญชีความปลอดภัย" ใน SQL Server 2000 หนังสือออนไลน์ เมื่อต้องการทำเช่นนี้ ไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:
    .aspx http://msdn2.microsoft.com/en-us/library/aa905162 (SQL.80)
    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Windows 2000 ทรัพยากร Kits ไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:
    http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx?mfr=true
  6. ตรวจสอบว่า แก้ปัญหาชื่อเกิดขึ้นอย่างถูกต้องหรือไม่ ชื่อความละเอียดของวิธีอาจรวมถึง DNS, WINS แฟ้มโฮสต์ Lmhosts แฟ้ม และ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับปัญหาการแก้ปัญหาชื่อ และ แก้ไขปัญหาเบื้องต้น คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    169790วิธีการแก้ไขปัญหา TCP/IP พื้นฐาน ปัญหา
  7. สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการแก้ไขปัญหาการเข้าถึง และ ไฟร์วอลล์การตัดสินค้าจากคลังกับไดเรกทอรีที่ใช้งานอยู่ คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    291382คำถามที่ถามบ่อยเกี่ยวกับ Windows 2000 DNS และเซิร์ฟเวอร์ของ Windows 2003 DNS
    224196 การจำกัดการรับส่งข้อมูลการจำลองแบบไดเรกทอรีที่ใช้งานอยู่และการรับส่งข้อมูล RPC ของไคลเอ็นต์ไปยังพอร์ตเฉพาะ
กำหนดค่าบริการ SQL Server เพื่อสร้าง SPNs แบบไดนามิกสำหรับอินสแตนซ์ของ SQL Server ที่
เมื่อต้องการกำหนดค่าบริการ SQL Server เพื่อสร้าง SPNs อย่างทันทีทันใด คุณต้องเปลี่ยนรหัสตั้งค่าการควบคุมการเข้าถึงในบริการไดเรกทอรี Active Directory คุณต้องให้สิทธิ์ "อ่าน servicePrincipalName" และ "เขียน servicePrincipalName" สิทธิ์สำหรับบัญชีบริการ SQL Server

คำเตือน ถ้าคุณใช้สแน็ปอินแก้ไข Active Directory บริการอินเทอร์เฟซ (ADSI) อรรถประโยชน์ LDP หรือใด ๆ อื่น ๆ LDAP เวอร์ชั่น 3 ไคลเอนต์และคุณเปลี่ยนแอตทริบิวต์ของวัตถุ Active Directory อย่างไม่ถูกต้อง คุณสามารถทำให้เกิดปัญหาร้ายแรง ปัญหาเหล่านี้อาจต้องให้คุณติดตั้ง Windows Server 2003, Microsoft Windows 2000 Server, Microsoft Exchange Server 2003, Microsoft Exchange 2000 Server หรือทั้ง Windows และอัตราแลกเปลี่ยน เราไม่สามารถรับประกันว่า ปัญหาที่เกิดจากการเปลี่ยนแอตทริบิวต์ของวัตถุ Active Directory อย่างไม่ถูกต้องจะสามารถแก้ไข เปลี่ยนแอตทริบิวต์เหล่านี้ในความเสี่ยงของคุณเอง

หมายเหตุ การให้สิทธิการอนุญาตที่เหมาะสมและสิทธิ์ของผู้ใช้ไปยังบัญชีเริ่มต้นเซิร์ฟเวอร์ SQL คุณต้องเข้าสู่ระบบเป็นผู้ดูแลโดเมน หรือคุณต้องขอให้ผู้ดูแลระบบโดเมนของคุณเพื่อทำงานนี้

เมื่อต้องการกำหนดค่าบริการ SQL Server เพื่อสร้าง SPNs อย่างทันทีทันใด ให้ทำตามขั้นตอนเหล่านี้:
  1. คลิก เริ่มคลิก เรียกใช้ชนิด Adsiedit.mscแล้ว คลิก ตกลง.
  2. ในการแก้ไข ADSI สแนปอิน ขยาย [โดเมนDomainName]ขยาย DC = RootDomainNameขยาย CN =ผู้ใช้คลิกขวา CN = ชื่อแล้ว คลิก คุณสมบัติ.

    หมายเหตุ
    • DomainName คือตัวยึดสำหรับชื่อของโดเมน
    • RootDomainName คือตัวยึดสำหรับชื่อของโดเมนหลัก
    • ชื่อ คือตัวยึดสำหรับบัญชีที่คุณระบุการเริ่มบริการ SQL Server
    • ถ้าคุณระบุบัญชี Local System เมื่อต้องการเริ่มบริการ SQL Server ชื่อ คือตัวยึดสำหรับบัญชีที่คุณใช้เข้าสู่ระบบ Microsoft Windows
    • ถ้าคุณระบุบัญชีผู้ใช้โดเมนการเริ่มบริการ SQL Server ชื่อ คือตัวยึดสำหรับบัญชีผู้ใช้โดเมน
  3. ในการ CN = ชื่อ คุณสมบัติ กล่องโต้ตอบ คลิก รักษาความปลอดภัย แท็บ
  4. ในการ รักษาความปลอดภัย แท็บ คลิก ขั้นสูง.
  5. ในการ ตั้งค่าความปลอดภัยขั้นสูง กล่องโต้ตอบกล่อง ตรวจสอบให้แน่ใจว่า ตัวเอง อยู่ภายใต้ รายการสิทธิ์.

    ถ้า ตัวเอง จะไม่มีอยู่ คลิก เพิ่มจากนั้น เพิ่ม ตัวเอง.
  6. ภายใต้ รายการสิทธิ์คลิก ตัวเองแล้ว คลิก แก้ไข.
  7. ในการ รายการสิทธิ์ กล่องโต้ตอบ คลิก คุณสมบัติ แท็บ
  8. ในการ คุณสมบัติ แท็บ คลิก วัตถุนี้เท่านั้น ในการ นำไปใช้กับ รายการ และจากนั้น ตรวจสอบให้แน่ใจว่า มีเลือกกล่องกาเครื่องหมายสำหรับการอนุญาตต่อไปนี้ภายใต้ การอนุญาต:
    • อ่าน servicePrincipalName
    • เขียน servicePrincipalName
  9. คลิก ตกลง สามครั้ง และจบการทำงานแล้วแก้ไข ADSI สแน็ปอิน
สำหรับความช่วยเหลือเกี่ยวกับกระบวนการนี้ ติดต่อฝ่ายสนับสนุนผลิตภัณฑ์ของไดเรกทอรีที่ใช้งานอยู่ และรวมถึงบทความฐานความรู้ของ Microsoft นี้

สิ่งสำคัญ เราขอแนะนำว่า คุณไม่ให้ WriteServicePrincipalName จากขวาไปบัญชีผู้ใช้บริการ SQL เมื่อมีเงื่อนไขต่อไปนี้:
  • มีตัวควบคุมโดเมนหลาย
  • มีการเกาะกลุ่ม SQL Server
ในสถานการณ์สมมตินี้ การ SPN สำหรับ SQL Server อาจถูกลบไปเนื่องจากเวลาแฝงในการจำลองแบบไดเรกทอรีที่ใช้งานอยู่ ซึ่งอาจทำให้ปัญหาการเชื่อมต่อกับอินสแตนซ์ของ SQL Server

สมมติว่า คุณมีตัวเลือกต่อไปนี้:
  • ตัวอย่างเสมือน SQL ที่ชื่อ Sqlcluster มีสองโหนด: โหนด A และโหนด B.
  • โหนด A จะได้รับการรับรอง โดยตัวควบคุมโดเมน A และโหนด B จะได้รับการรับรอง โดยตัวควบคุมโดเมน B.


ต่อไปนี้อาจเกิดขึ้น:
  1. อินสแตนซ์ของ Sqlcluster ที่จะเปิดใช้งานบนโหนด A และลงทะเบียน SPN SQL ในตัวควบคุมโดเมน A ในระหว่างการเริ่มต้นขึ้น...
  2. อินสแตนซ์ของ Sqlcluster ไม่ผ่านการโหนด B เมื่อโหนด A คือ ปิดเครื่องปกติ
  3. อินสแตนซ์ของ Sqlcluster deregistered ของ SPN จากตัวควบคุมโดเมน A ในระหว่างกระบวนการปิดระบบบนโหนดก.
  4. SPN จะถูกเอาออกจากตัวควบคุมโดเมน A แต่การเปลี่ยนแปลงได้ไม่ได้ถูกทำสำเนาไปยังตัวควบคุมโดเมน B.
  5. เมื่อเริ่มต้นบนโหนด B อินสแตนซ์ Sqlcluster พยายามที่จะลงทะเบียน SPN SQL กับตัวควบคุมโดเมน B. เนื่องจาก SPN ยังคงอยู่โหนด B ลงทะเบียน SPN ไม่
  6. ในบางเวลา ตัวควบคุมโดเมน A เหมือนกับการลบของ SPN (จากขั้นตอนที่ 3) ไปยังตัวควบคุมโดเมน B เป็นส่วนหนึ่งของการจำลองแบบไดเรกทอรีที่ใช้งานอยู่ ผลลัพธ์สุดท้ายคือ SPN ไม่ถูกต้องสำหรับอินสแตนซ์ SQL ในโดเมนอยู่ และนั้น คุณเห็นปัญหาในการเชื่อมต่อกับอินสแตนซ์ของ Sqlcluster

หมายเหตุ ปัญหานี้ได้รับการแก้ไขใน SQL Server 2012
ตรวจสอบเซิร์ฟเวอร์ สภาพแวดล้อม
ตรวจสอบการตั้งค่าพื้นฐานบางอย่างบนคอมพิวเตอร์ที่เป็นเซิร์ฟเวอร์ SQL การติดตั้ง:
  1. ไม่สนับสนุนการรับรองความถูกต้อง Kerberos บนคอมพิวเตอร์ที่ใช้ Windows 2000 ที่กำลังเรียกใช้ Windows Clustering ยกเว้นว่าคุณได้ใช้ Service Pack 3 (หรือรุ่นที่ใหม่กว่า) เป็น Windows 2000 ดังนั้น ความพยายามใด ๆ เพื่อใช้การรับรองความถูกต้องของ SSPI บนอินสแตนซ์ที่คลัสเตอร์ของ SQL Server อาจล้มเหลว สำหรับข้อมูลเพิ่มเติม การ บทความเลขต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    235529สนับสนุนการรับรองความถูกต้อง Kerberos ในคลัสเตอร์ของเซิร์ฟเวอร์ที่ใช้ Windows 2000
  2. ตรวจสอบว่า เซิร์ฟเวอร์ที่กำลังเรียกใช้ Windows 2000 Service Pack 1 (SP1) หรือไม่ สำหรับ คลิกข้อมูลเพิ่มเติมเกี่ยวกับการสนับสนุนการรับรองความถูกต้อง Kerberos บนเซิร์ฟเวอร์ที่ใช้ Windows 2000 หมายเลขบทความต่อไปนี้เพื่อดูบทความในความรู้ของ Microsoft ฐาน:
    267588ข้อความแสดงข้อผิดพลาด "ไม่สามารถสร้างบริบท SSPI ได้" จะแสดงขึ้นเมื่อคุณเชื่อมต่อกับ SQL Server 2000
  3. ในคลัสเตอร์ ถ้าบัญชีที่คุณใช้เพื่อเริ่ม SQL Server, SQL Server Agent หรือค้นหาแบบเต็มหน่วย บริการ การเปลี่ยนแปลงเช่นรหัสผ่านใหม่ ตามขั้นตอนที่กำหนดไว้ในบทความฐานความรู้ของ Microsoft ต่อไปนี้:
    239885 วิธีการเปลี่ยนบัญชีบริการสำหรับคอมพิวเตอร์คลัสเตอร์ที่กำลังเรียกใช้ SQL Server
  4. ตรวจสอบว่า บัญชีที่คุณใช้เพื่อเริ่ม SQL Server มีสิทธิ์ที่เหมาะสมหรือไม่ ถ้าคุณกำลังใช้บัญชีผู้ใช้ที่ไม่ใช่สมาชิกของกลุ่มผู้ดูแลท้องถิ่น ให้ดูหัวข้อ "การตั้งค่าขึ้น Windows Services บัญชี" ใน SQL Server Books Online สำหรับรายละเอียดของสิทธิ์ที่ต้องมีบัญชีผู้ใช้นี้:
    .aspx http://msdn2.microsoft.com/en-us/library/aa176564 (SQL.80)
ตรวจสอบสภาพแวดล้อมแบบไคลเอ็นต์
ตรวจสอบต่อไปนี้บนไคลเอนต์:
  1. ตรวจสอบให้แน่ใจว่า ผู้ให้บริการการสนับสนุนความปลอดภัยแบบ NTLM ถูกติดตั้งอย่างถูกต้อง และเปิดใช้งานบนไคลเอนต์ สำหรับข้อมูลเพิ่มเติม คลิก หมายเลขบทความต่อไปนี้เพื่อดูบทความในความรู้ของ Microsoft ฐาน:
    269541ข้อความแสดงข้อผิดพลาดเมื่อคุณเชื่อมต่อกับ SQL Server ถ้าคีย์รีจิสทรีของผู้ให้การสนับสนุนความปลอดภัย LM Windows NT ขาดหายไป: "ไม่สามารถสร้างบริบท SSPI ได้"
  2. ตรวจสอบว่า คุณกำลังใช้ข้อมูลประจำตัวที่แคช ถ้าคุณเข้าสู่ระบบไคลเอ็นต์ โดยใช้ข้อมูลประจำตัวที่แคช เข้าสู่ระบบออกจากคอมพิวเตอร์ และจากนั้น เข้าสู่ระบบกลับเมื่อคุณสามารถเชื่อมต่อกับตัวควบคุมโดเมนเพื่อป้องกันไม่ให้มีการใช้ข้อมูลประจำตัวแคช สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการ ตรวจสอบว่า คุณกำลังใช้ข้อมูลประจำตัวที่แคช คลิกบทความต่อไปนี้ หมายเลขเพื่อดูบทความในฐานความรู้ของ Microsoft:
    242536ผู้ใช้ไม่ได้รับการแจ้งเตือนเมื่อมีการบันทึกบนโดเมนแคช
  3. ตรวจสอบว่า วันที่บนไคลเอนต์และเซิร์ฟเวอร์ที่ไม่ถูกต้องหรือไม่ ถ้าวันอยู่ห่างจากกันมากเกินไป ใบรับรองของคุณอาจจะถือว่าไม่ถูกต้อง
  4. SSPI ใช้แฟ้มที่ชื่อ Security.dll ถ้าโปรแกรมประยุกต์อื่นติดตั้งแฟ้มที่ใช้ชื่อนี้ แฟ้มอื่น ๆ อาจสามารถใช้แทนแฟ้ม SSPI แท้จริง สำหรับข้อมูลเพิ่มเติม คลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base:
    253577ข้อผิดพลาด: 80004005 - โปรแกรมควบคุม MS ODBC SQL Server ไม่สามารถเตรียมใช้งานแพคเกจ SSPI
  5. ถ้าระบบปฏิบัติการบนไคลเอนต์ Microsoft Windows 98 คุณต้องติดตั้งไคลเอ็นต์คอมโพเนนต์ของเครือข่าย Microsoft บนไคลเอ็นต์ สำหรับข้อมูลเพิ่มเติม คลิก หมายเลขบทความต่อไปนี้เพื่อดูบทความในความรู้ของ Microsoft ฐาน:
    267550จุดบกพร่อง: "ยืนยันหลักล้ม" เมื่อคุณเชื่อมต่อกับ SQL Server ผ่าน TCP/IP
ตรวจสอบยูทิลิตี้การเครือข่ายไคลเอ็นต์
มีการจัดส่งพร้อมกับ Microsoft ข้อมูลการเข้าถึงคอมโพเนนต์ (MDAC) ไคลเอนต์เครือข่ายยูทิลิตี้ (CNU) และการใช้การตั้งค่าคอนฟิกการเชื่อมต่อกับคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server คุณสามารถใช้ยูทิลิตี MDAC Cliconfg.exe CNU เพื่อกำหนดค่าการเชื่อมต่อ:
  1. ในการ ทั่วไป มีโพรโทคอลที่ลักษณะแท็บ กำหนดแตกต่างกันไปตามรุ่นของ MDAC มีรุ่นล่าสุดของ MDAC คุณสามารถเลือกโพรโทคอล "เริ่มต้น" ในรุ่นล่าสุดของ MDAC คุณสามารถ เปิดใช้งานอย่าง น้อยหนึ่งโพรโทคอลกับหนึ่งที่ด้านบนของรายการเมื่อคุณเชื่อมต่อ กับ SQL Server เนื่องจาก SSPI ใช้ได้เฉพาะกับ TCP/IP คุณสามารถใช้ที่แตกต่างกัน โพรโทคอล เช่นเนมไปป์ เพื่อหลีกเลี่ยงข้อผิดพลาด
  2. ตรวจสอบการ นามแฝง แท็บใน CNU เพื่อตรวจสอบว่า มีกำหนดนามแฝงสำหรับเซิร์ฟเวอร์ที่คุณกำลังพยายามเชื่อมต่อ ถ้ามีกำหนดค่าเป็นนามแฝงของเซิร์ฟเวอร์ ตรวจสอบการตั้งค่าสำหรับวิธีการกำหนดค่าคอมพิวเตอร์เครื่องนี้เชื่อมต่อกับ SQL Server คุณสามารถตรวจสอบนี้ โดยการลบนามแฝงของเซิร์ฟเวอร์เพื่อดูว่า ลักษณะการทำงานเปลี่ยนแปลง
  3. ถ้าไม่มีกำหนดนามแฝงของเซิร์ฟเวอร์บน CNU เพิ่มนามแฝงของเซิร์ฟเวอร์ที่คุณกำลังเชื่อมต่อ เมื่อคุณทำงานนี้ คุณได้อย่างชัดเจนการกำหนดโพรโทคอล และอีกทางหนึ่งคือการกำหนดอยู่ IP และพอร์ต
ตั้งชื่อบริการหลักสำหรับ SQL Server ด้วยตนเอง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตั้งชื่อบริการหลักสำหรับ SQL Server ด้วยตนเอง คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
319723วิธีการใช้การรับรองความถูกต้อง Kerberos ใน SQL Server
การรักษาความปลอดภัยสนับสนุนผู้ให้บริการอินเทอร์เฟซ (SSPI) เป็นอินเทอร์เฟซสำหรับการรักษาความปลอดภัยของ Microsoft Windows NT ที่ใช้สำหรับการรับรองความถูกต้อง Kerberos และสนับสนุนโครงร่างการรับรองความถูกต้องของผู้ให้บริการการสนับสนุนความปลอดภัยแบบ NTLM รับรองความถูกต้องเกิดขึ้นในระดับระบบปฏิบัติการเมื่อคุณเข้าสู่ระบบโดเมนของ Windows การรับรองความถูกต้อง Kerberos จะพร้อมใช้งานบนคอมพิวเตอร์โดยใช้ Windows 2000 ที่มีการรับรองความถูกต้อง Kerberos ที่เปิดใช้งาน และการที่จะใช้ไดเรกทอรีที่ใช้งานอยู่เท่านั้น

SSPI จะใช้สำหรับการเชื่อมต่อ TCP/IP ที่ทำ โดยใช้การพิสูจน์ตัวจริงของ Windows เท่านั้น รับรองความถูกต้องของ Windows ถูกเรียกอีกอย่างว่าการเชื่อมต่อที่เชื่อถือได้หรือการรักษาความปลอดภัยรวม ไม่มีใช้ SSPI โดยเนมไปป์หรือการเชื่อมต่อ multi-protocol ดังนั้น คุณสามารถหลีกเลี่ยงปัญหา ด้วยการตั้งค่าคอนฟิกไคลเอนต์เชื่อมต่อจากโพรโทคอลที่ไม่ใช่ TCP/IP

เมื่อเป็น SQL ไคลเอ็นต์เซิร์ฟเวอร์พยายามที่จะใช้การรักษาความปลอดภัยรวมผ่าน TCP/IP sockets แบบระยะไกล ใช้ไลบรารีเครือข่าย SQL Server ไคลเอ็นต์คอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server API SSPI เพื่อดำเนินการมอบหมายการรักษาความปลอดภัย ไคลเอ็นต์เครือข่ายของ SQL Server (Dbnetlib.dll) ทำให้การเรียกไปยังฟังก์ชันAcquireCredentialsHandleและส่งผ่านในการ "เจรจา" สำหรับพารามิเตอร์pszPackage ซึ่งจะแจ้งให้ผู้ให้บริการรักษาความปลอดภัยอยู่ภายใต้การดำเนินการการมอบหมายการเจรจาต่อรอง ในบริบทนี้ เจรจาต่อรองหมายถึงการลอง Kerberos หรือ NTLM รับรองความถูกต้องบนคอมพิวเตอร์ที่ใช้ Windows กล่าว Windows ใช้การมอบหมาย Kerberos ถ้าคอมพิวเตอร์ปลายทางที่กำลังเรียกใช้ SQL Server ที่มี SPN เกี่ยวข้อง การกำหนดค่าอย่างถูกต้อง มิฉะนั้น Windows ใช้ NTLM การการมอบหมาย

หมายเหตุ ตรวจสอบว่า คุณไม่ได้ใช้บัญชีผู้ใช้ชื่อว่า "ระบบ" เพื่อเริ่มการทำงาน ข้อมูลใด ๆ ของบริการ SQL Server (MSSQLServer, SQLServerAgent, MSSearch) ที่ คำสำคัญระบบอาจทำให้เกิดความขัดแย้งกับศูนย์การแจกจ่ายคีย์ (KDC)
ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding end collapsed

เก็บรวบรวมข้อมูลเพื่อเปิดตัวเครื่องสนับสนุนลูกค้า Microsoft (CSS)

ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding start collapsed
ถ้าคุณไม่สามารถหาสาเหตุของปัญหา โดยใช้ขั้นตอนการแก้ไขปัญหาในบทความนี้ การเก็บรวบรวมข้อมูลต่อไปนี้ และเปิดกรณีและปัญหาที่สนับสนุนลูกค้า Microsoft (CSS)

สำหรับรายการสมบูรณ์ของหมายเลขโทรศัพท์ที่สนับสนุนลูกค้าของ Microsoft และข้อมูลเกี่ยวกับต้นทุนสนับสนุน ไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:
http://support.microsoft.com/contactus/?ws=support
  1. สร้างรายงาน sqldiag จาก SQL Server สำหรับข้อมูลเพิ่มเติม ข้อมูล ดูหัวข้อ "การ sqldiag โปรแกรมอรรถประโยชน์" ใน SQL Server หนังสือ แบบออนไลน์
  2. จับภาพหน้าจอเป็นข้อผิดพลาดบนไคลเอ็นต์
  3. เปิดพร้อมท์คำสั่งบนโหน ที่ไม่สามารถเชื่อมต่อกับ SQL Server แล้ว พิมพ์คำสั่งต่อไปนี้:
    เริ่มต้นสุทธิ > started.txt
    คำสั่งนี้สร้างแฟ้มที่ชื่อ Started.txt ในไดเรกทอรีที่คุณเรียกใช้คำสั่ง
  4. บันทึกค่าสำหรับคีย์รีจิสทรีภายใต้คีย์รีจิสทรีต่อไปนี้บนคอมพิวเตอร์ไคลเอนต์:
    HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSQLSERVER\CLIENT\CONNECTTO
  5. ในสภาพแวดล้อมแบบคลัสเตอร์ ค้นหาค่าของคีย์รีจิสทรีต่อไปนี้สำหรับแต่ละโหนของคลัสเตอร์:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel
  6. ในสภาพแวดล้อมแบบคลัสเตอร์ ดูว่า มีคีย์รีจิสทรีต่อไปนี้อยู่บนแต่ละโหนของเซิร์ฟเวอร์คลัสเตอร์:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLMSsp
  7. จับภาพผลลัพธ์ถ้าคุณเชื่อมต่อกับ SQL Server โดยใช้การ ชื่อแบบแผนการตั้งชื่อ (UNC) สากล (หรือชื่อเครือข่าย SQL ในคลัสเตอร์) จากไคลเอนต์
  8. จับผลลัพธ์ถ้าคุณ ping ชื่อเครื่องคอมพิวเตอร์ (หรือชื่อเครือข่าย SQL ในคลัสเตอร์) จากไคลเอนต์
  9. บันทึกชื่อของบัญชีผู้ใช้ที่คุณใช้เพื่อเริ่มต้นบริการ SQL Server (MSSQLServer, SQLServerAgent, MSSearch) แต่ละตัว
  10. การสนับสนุนระดับมืออาชีพต้องทราบว่า SQL Server ถูกกำหนดค่าสำหรับการรับรองเฉพาะ Windows หรือการรับรองความถูกต้องแบบผสมกัน
  11. ดูว่า คุณสามารถเชื่อมต่อไปยังคอมพิวเตอร์ที่กำลังเรียกใช้ SQL Server จากไคลเอนต์เดียวกัน โดยใช้การรับรองความถูกต้องของเซิร์ฟเวอร์ SQL
  12. ดูว่า คุณสามารถเชื่อมต่อ โดยใช้โพรโทคอลเนมไปป์

การอ้างอิง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Kerberos รับรองความถูกต้องและ SSPI ทำงานการรักษาความปลอดภัย ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในการ ฐานความรู้ของ Microsoft:
266080คำตอบสำหรับคำถามที่รับรองความถูกต้อง Kerberos พบบ่อย
231789 กระบวนการเข้าสู่ระบบภายในเครื่องสำหรับ Windows 2000
304161 มีระบุการรับรองความถูกต้องซึ่งกันและกันของ SSPI บนฝั่งไคลเอ็นต์ แต่ไม่ใช่ บนฝั่งเซิร์ฟเวอร์
232179 จัดการ Kerberos ใน Windows 2000
230476 คำอธิบายของทั่วไปที่เกี่ยวข้องกับ Kerberos ใน Windows 2000
262177 วิธีการเปิดใช้งานการบันทึกเหตุการณ์ Kerberos
277658 Setspn ล้มเหลวถ้าชื่อโดเมนที่แตกต่างจากชื่อ NetBIOS ที่ลงทะเบียน SPN เซิร์ฟเวอร์ SQL
244474 วิธีการบังคับใช้ Kerberos เมื่อต้องการใช้ TCP UDP ใน Windows Server 2003 ใน Windows XP และ ใน Windows 2000
เมื่อต้องการดูเอกสารทางเทคนิคเกี่ยวกับความปลอดภัยของ Microsoft SQL Server 2000 ไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:
http://technet.microsoft.com/en-us/cc984178.aspx
ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding end collapsed

คุณสมบัติ

หมายเลขบทความ (Article ID): 811889 - รีวิวครั้งสุดท้าย: 11 กรกฎาคม 2556 - Revision: 9.0
ใช้กับ
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL 2005 Server Enterprise
  • Microsoft SQL 2005 Server Workgroup
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Enterprise Evaluation
  • Microsoft SQL Server 2008 Express
  • Microsoft SQL Server 2008 Express with Advanced Services
  • Microsoft SQL Server 2008 R2 Datacenter
  • Microsoft SQL Server 2008 R2 Developer
  • Microsoft SQL Server 2008 R2 Enterprise
  • Microsoft SQL Server 2008 R2 Express
  • Microsoft SQL Server 2008 R2 Express with Advanced Services
  • Microsoft SQL Server 2008 R2 Integration Services
  • Microsoft SQL Server 2008 R2 Standard
  • Microsoft SQL Server 2008 R2 Standard Edition for Small Business
  • Microsoft SQL Server 2008 R2 Web
  • Microsoft SQL Server 2008 R2 Workgroup
  • Microsoft SQL Server 2008 Reporting Services
  • Microsoft SQL Server 2008 Standard
  • Microsoft SQL Server 2008 Standard Edition for Small Business
  • Microsoft SQL Server 2008 Web
  • Microsoft SQL Server 2008 Workgroup
  • Microsoft SQL Server 2012 Developer
  • Microsoft SQL Server 2012 Enterprise
  • Microsoft SQL Server 2012 Express
  • Microsoft SQL Server 2012 Standard
  • Microsoft SQL Server 2012 Web
  • SQL Server 2012 Enterprise Core
Keywords: 
kbsqlsetup kbhowtomaster kbhowto kbsmbportal kbmt KB811889 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:811889

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com