Усунення протокол IMAP про помилку "Не вдалося створити контекст SSPI"

Переклади статей Переклади статей
Номер статті: 811889 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

Розуміння проблеми

Згорнути це зображенняРозгорнути це зображення
assets folding start collapsed
Цей розділ дає вам довідкову інформацію на чому з'являється протокол IMAP про помилку "Не вдалося створити контекст SSPI" та усунення помилок. Може з'явитися це протокол IMAP про помилку, якщо виконуються наступні умови:
  • Ви підключаєтеся до Microsoft SQL Server.
  • Ви використовуєте вбудованої безпеки.
  • Автентифікацію Kerberos використовується для виконання делегації безпеки.
Розуміння Kerberos термінології та імені учасника служби
SQL Server драйвер на клієнтському комп'ютері використовує інтегровану безпеки використовувати маркер безпеки Windows облікового запису успішно підключитися до комп'ютера, який працює SQL Server. Маркер безпеки Windows делеговані від клієнта на комп'ютері, на якому запущено SQL Server. SQL Server водій виконує цю делегації коли маркер безпеки користувача делегував з одного комп'ютера на інший за допомогою одного з перелічених конфігурацій:
  • NTLM через іменовані канали (не за допомогою інтерфейс постачальника підтримки безпеки [SSPI])
  • NTLM через TCP/IP розеток з SSPI
  • Автентифікацію Kerberos через TCP/IP розеток з SSPI
Інтерфейс підтримки постачальника безпеки (SSPI) являє собою набір API для Windows, що дозволяє делегування та взаємної автентифікації через будь-які загальні дані транспорту шару, наприклад TCP/IP розетки. Таким чином, на комп'ютері під керуванням операційної системи Windows надійно делегувати маркер безпеки користувача з одного комп'ютера на інший через будь-який транспорт шар, який можна передавати сирих байтів даних дозволяє SSPI.

Помилка "Не вдалося створити контекст SSPI" генерується, коли SSPI використовує автентифікацію Kerberos делегувати через TCP/IP та автентифікації Kerberos не вдалося завершити необхідні операції успішно делегувати маркер безпеки користувача на комп'ютері призначення, на якому запущено SQL Server.
Чому інтерфейс постачальника підтримки безпеки використовує автентифікацію NTLM або Kerberos
Автентифікацію Kerberos використовує ідентифікатор названий "Імені учасника служби" (SPN). Розглянути на SPN домену або лісу унікальний ідентифікатор деякі інстанції у ресурсів сервера. Ви можете мати SPN, для веб-служба, служби SQL або SMTP-служба. Ви також можете мати кілька екземплярів служби web фізичного комп'ютера, який має унікальний SPN.

На SPN для SQL Server складається з наступних елементів:
  • ServiceClass: це визначає загальні класу обслуговування. Це завжди MSSQLSvc для SQL Server.
  • Хост: це повне доменне ім’я DNS комп'ютера, що запущено SQL Server.
  • Порт: це номер порту, який прослуховує служби.
Наприклад, типовий SPN на комп'ютері, на якому запущено SQL Server виглядає наступним чином:
MSSQLSvc/SQLSERVER1.northamerica.corp.mycompany.com:1433
Формат SPN за промовчанням екземпляр і формат SPN для ім'ям примірник не є різними. Номер порту є те, що пов'язує SPN, щоб за конкретному випадку.

Коли драйвер SQL Server на клієнт використовує вбудованої безпеки для підключення до SQL Server, водій код на клієнтський намагається вирішити повне DNS комп ' ютера, на якому запущено SQL Сервер за допомогою WinSock, мережеві інтерфейси API. Для виконання цієї операції на драйвер код називає gethostbyname і gethostbyaddr API для WinSock. Навіть якщо є IP адреса або ім’я хоста передається як на ім'я комп'ютера, який працює SQL Server, SQL Server драйвер намагається вирішити повне DNS на комп'ютері, якщо на комп'ютері вбудованої безпеки.

Коли драйвер SQL Server на клієнт вирішує повне DNS комп’ютер-зразок, на якому запущено SQL Server, відповідні DNS використовується сформувати SPN для цього комп'ютера. Таким чином, будь-які питання про те, як ім'я або адреса IP рішучості повне DNS за WinSock може призвести до SQL Server драйвера для створення неприпустима SPN на комп'ютері, на якому запущено SQL Server.

Наприклад, неприпустимий SPN, що драйвер клієнтського SQL Server може форма, як розпізнати повне DNS є наступні:
  • MSSQLSvc / SQLSERVER1:1433
  • MSSQLSvc/123.123.123.123:1433
  • MSSQLSvc/SQLSERVER1.antartica.corp.mycompany.com:1433
  • MSSQLSvc/SQLSERVER1.dns.northamerica.corp.mycompany.com:1433
Коли драйвер SQL Server формує SPN, які не є припустимим, автентифікації працює тому, що інтерфейс SSPI намагається відшукати SPN в службі каталогів служба Active Directory, і не знайти в SPN. Якщо SSPI інтерфейс не знайти в SPN, автентифікацію Kerberos не проводиться. В той момент шар SSPI перейде до режиму автентифікації NTLM, і увійти в систему використовує автентифікацію NTLM і зазвичай вдається. Якщо драйвер SQL Server формує SPN, які припустимі, але не призначено відповідний контейнер, він намагається використовувати у SPN, але не може. Це викликає протокол IMAP про помилку "Не вдалося створити контекст SSPI". Якщо обліковий запис А комп'ютера запуску SQL Server обліковий запис А комп'ютера локальної системи, відповідний контейнер-це ім'я комп'ютера. Для будь-якого іншого облікового запису відповідного контейнера є рахунок запуску SQL Server. Тому що автентифікація буде намагатися використовувати перший SPN, які він знаходить, переконайтеся, що немає не SPN призначено неправильну контейнерів. Іншими словами, кожен SPN слід призначити лише один контейнер.

Ключовим фактором, який робить автентифікацію Kerberos успішним є припустимим DNS функціональності в мережі. Ви можете перевірити цю функцію на клієнта і сервера за допомогою утиліти командний рядок Ping. На клієнтському комп'ютері запустіть таку команду, щоб отримати IP-адресу сервера, на якому запущено SQL Server (де комп’ютер-зразок, на якому запущено SQL Server має ім'я SQLServer1):
пінг sqlserver1
Щоб побачити, чи утиліта Ping усуває повне DNS SQLServer1, виконайте таку команду:
Пінг - це Крапкою
Наприклад:
C:\>ping SQLSERVER1

Pinging SQLSERVER1 [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
	
Ping statistics for 123.123.123.123:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms
C:\>ping -a 123.123.123.123
	
Pinging SQLSERVER1.northamerica.corp.mycompany.com [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Ping statistics for 123.123.123.123:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

C:\>
Коли команда Пінг - це Крапкою постановляє правильний повне DNS комп ' ютера, на якому запущено SQL Server, резолюція клієнтський також є успішним.
Створення імені учасника служби SQL Server
Це одна з важливих частин автентифікацію Kerberos та SQL Server взаємодії. З SQL Server, ви можете запустити службу SQL Server під одну з таких дій: службою облікового запису, обліковий запис А комп'ютера локального користувача або облікового запису користувача домену. Під Вільний час запуску екземпляра служби SQL Server, він намагається зареєструвати свій власний SPN в служба Active Directory за допомогою виклику DsWriteAccountSpn API. Якщо виклик не є успішним, є такі попередження у засобі перегляду подій комп'ютера:

Джерело: MSSQLServer EventID: 19011 Опис/контроль: SuperSocket інформація: (SpnRegister): помилка 8344.

Для більш відомості про функцію DsWriteAccountSpn , перейдіть на веб-сайт корпорації Майкрософт:
http://msdn2.Microsoft.com/EN-US/Library/ms676056.aspx
Спрощене пояснення
Якщо запустити службу SQL Server під обліковим записом LocalSystem у SPN автоматично зареєстровані і автентифікацію Kerberos взаємодіє успішно з комп'ютера, на якому запущено SQL Server. Однак, ви запустити службу SQL Server, у розділі обліковий запис А комп'ютера домену або під місцевим облікового запису, спроба створити на SPN вдасться в більшості випадків оскільки обліковий запис А комп'ютера домену та місцевого облікового запису не мають право встановлювати свої власні SPN. Коли створення SPN не буде успішним, це означає, що немає SPN настроєно на комп'ютері, на якому запущено SQL Server. Якщо ви перевірити за допомогою облікового запису адміністратора домену як обліковий запис А комп'ютера служби SQL Server, до SPN успішно створено, тому що облікові дані адміністратора домену, які потрібно створити в SPN, присутні.

Тому що за допомогою облікового запису адміністратора домену не може запустити служби SQL Server (для запобігання ризик безпеки), комп’ютер-зразок, на якому запущено SQL Server не вдалося створити свою власну SPN. Таким чином, необхідно вручну створити на SPN для вашого комп'ютера, який працює SQL Server, якщо ви хочете використовувати автентифікацію Kerberos, під Вільний час підключення до комп'ютера, який працює SQL Server. Це вірно, якщо SQL Server запущено під обліковим записом користувача домену або у розділі обліковий запис А комп'ютера локального користувача. обліковий запис А комп'ютера служби SQL Server служби на окремий комп’ютер-зразок мають бути призначені SPN, які ви створюєте. Не вдалося призначити на SPN Контейнер комп'ютера, якщо комп’ютер-зразок, на якому запущено SQL Server починається з облікового запису локальної системи. Там має бути лише один SPN, і його слід призначити відповідний контейнер. Зазвичай це поточний обліковий запис А комп'ютера служби SQL Server, але це контейнер комп'ютера облікового запису з облікового запису локальної системи.
Згорнути це зображенняРозгорнути це зображення
assets folding end collapsed

Вирішення проблеми

Згорнути це зображенняРозгорнути це зображення
assets folding start collapsed
Цей розділ показує вам кроки, щоб переконатися, що комп ' ютер не мають жодних проблем SSPI.

Перевірте, чи домен
Переконайтеся, що домен, до якого системи, можна спілкуватися з домену, до якого належить комп’ютер-зразок, на якому запущено SQL Server. Має бути правильне ім'я резолюції в домені.
  1. Ви повинні переконатися, що ви можете успішно входу у Windows за допомогою же обліковий запис А комп'ютера домену і пароль облікового запису запуску служби SQL Server. Наприклад, SSPI помилка може виникнути в одному з таких ситуацій:
    • обліковий запис А комп'ютера домену заблоковано.
    • Змінити пароль облікового запису. Однак, ви ніколи не перезапустити службу SQL Server, після того, як змінити пароль.
  2. Якщо ваш домен входу до системи відрізняється від домену комп’ютер-зразок, на якому запущено SQL Server, перевірте довірчий зв'язок між домени.
  3. Перевірити, чи в домені, що належить серверу та облікового запису домену, який використовується для підключення до одного лісу. Це потрібно для SSPI працювати.
  4. сценарій виконання на обліковий запис А комп'ютера є довіреним для делегування параметр в служба Active Directory - користувачі й комп'ютери під Вільний час запуску SQL Server.

    Примітка. В ' облікового запису є довіреним для делегування ' прямо не потрібно тільки коли ви є делегування фінансові дані від цільового сервера SQL на віддалений сервер SQL наприклад, подвійний хоп сценарії, як розподілені запитів (зв'язаного сервера запитів), що сценарій виконання автентифікації Windows.
  5. Використовувати маніпулювати імена учасників служби для комунальні рахунки (SetSPN.exe) у Windows 2000 див. Облікові запис А бізнес-партнера адміністратора домену Windows 2000 або облікові запис А бізнес-партнера адміністратора домену Windows Server 2003 можна використовувати утиліту контролювати SPN, призначену сервіс та обліковий запис А комп'ютера. Для SQL Server має бути лише один SPN. На SPN мають бути призначені відповідний контейнер, поточний SQL сервер служби в більшості випадків й обліковий запис А комп'ютера комп'ютера під Вільний час запуску SQL Server з облікового запису локальної системи. Якщо ви запустити SQL Server, у той Вільний час як увійти до системи з обліковим записом LocalSystem у SPN автоматично настроїти. Однак, якщо для запуску SQL Server використовується обліковий запис А комп'ютера домену, або коли ви змінити обліковий запис А комп'ютера, який використовується, щоб запустити SQL Server, необхідно запустити SetSPN.exe видаляти прострочені SPN, а потім потрібно додати дійсні SPN. Для отримання додаткових відомостей зверніться до розділу "Безпеки облікового запису делегація" у SQL Server 2000 книг онлайн. Для цього перейдіть на веб-сайт корпорації Майкрософт:
    http://msdn2.Microsoft.com/EN-US/Library/aa905162 (SQL.80). aspx
    Додаткові відомості про Windows 2000 ресурс комплекти перейдіть на веб-сайт корпорації Майкрософт:
    http://www.Microsoft.com/TechNet/prodtechnol/windows2000serv/reskit/default.mspx?mfr=True
  6. Перевірте, чи відбувається визначення імен. Назва резолюції методи можуть включати DNS, ВИГРАЄ, хостів файли та файли Lmhosts. Для отримання додаткових відомостей про ім'я Вирішення проблем і вирішення проблеми, клацніть номер статті в базі знань Microsoft Knowledge Base:
    169790Виправлення неполадок із основних TCP/IP проблеми
  7. Додаткові відомості про усунення проблем доступності та брандмауер питань з служба Active Directory, клацніть номер статті в базі знань Microsoft Knowledge Base:
    291382Запитання й відповіді про Windows 2000 DNS та сервер Windows 2003 DNS
    224196 Обмеження руху реплікації служба Active Directory і клієнтських трафік RPC до певного порту
Настроювання служби SQL Server створити SPN динамічно для екземплярів SQL Server
Щоб настроїти службу SQL Server створити SPN динамічно, слід змінити параметри керування доступом на обліковий запис А комп'ютера у службі каталогів служба Active Directory. Потрібно надати дозвіл на "Читати servicePrincipalName" і "Запис servicePrincipalName" дозволів для облікового запису служби SQL Server.

Попередження. Якщо використовується оснастка служба Active Directory застосунок-служба інтерфейси (ADSI) редагування, утилітою LDP або будь-які інші версії LDAP 3 клієнтів і ви неправильно змінення атрибутів служба Active Directory об'єкти, може викликати серйозні проблеми. Ці проблеми може бути потрібно переінсталювати Windows Server 2003, Microsoft Windows 2000 Server, Microsoft Exchange Server 2003, Microsoft Exchange 2000 Server, або обох Windows і обміну валют. Ми не можемо гарантувати, що проблеми, викликані неправильно змінення атрибутів служба Active Directory об'єкти можуть бути вирішені. Змінити ці атрибути на свій власний ризик.

Примітка. Щоб надати відповідні дозволи та права для запуску SQL Server обліковий запис А комп'ютера, вам потрібно увійти як адміністратор домену, або зверніться до адміністратора домену для виконання цього завдання.

Щоб настроїти службу SQL Server створити SPN динамічно, виконайте такі дії:
  1. Натисніть кнопку Почати, натисніть кнопку Запустити, тип Команду adsiedit. mscа потім натисніть кнопку Гаразд.
  2. На редагування ADSI оснастка розгорніть [ДоменІм'я домену], розгорніть DC = RootDomainName, розгорніть CN = користувачів, клацніть правою кнопкою миші CN = AccountNameа потім натисніть кнопку Властивості.

    Примітки
    • Ім'я домену є рамкою для ім'я домену.
    • RootDomainName є рамкою для імені кореневий домен.
    • AccountName є рамкою для облікового запису, вказаного для запуску служби SQL Server.
    • Якщо вказується обліковий запис А комп'ютера локальної системи, щоб запустити службу SQL Server AccountName є рамкою для облікового запису, який використовується для входу до Microsoft Windows.
    • Якщо вказується обліковий запис А комп'ютера користувача домену запустити службу SQL Server AccountName є рамкою для облікового запису користувача домену.
  3. У в CN = AccountName Властивості діалогове вікно, натисніть на Безпека вкладки.
  4. На в Безпека вкладки, натисніть кнопку Розширений.
  5. У в Додаткові параметри безпеки діалогове вікно, переконайтеся, що САМОВРЯДУВАННЯ у списку Елементи дозволів.

    Якщо САМОВРЯДУВАННЯ є немає у списку, клацніть Додатиа потім додати САМОВРЯДУВАННЯ.
  6. У розділі Елементи дозволів, натисніть кнопку САМОВРЯДУВАННЯа потім натисніть кнопку Редагувати.
  7. У в Елемент дозволу діалогове вікно, натисніть на Властивості вкладки.
  8. На в Властивості вкладки, натисніть кнопку Лише цей об'єкт у в Застосувати Список а потім переконайтеся, що прапорці для таких дозволів вибрано під Дозволи:
    • Читайте servicePrincipalName
    • Написати servicePrincipalName
  9. Натисніть кнопку Гаразд три рази а потім вихід редагування ADSI оснастки.
За допомогою цього процесу зверніться до представник служби підтримки клієнтів продукту служба Active Directory і згадати про цю статтю база знань Microsoft.

Важливо. Рекомендовано не надає WriteServicePrincipalName права на обліковий запис А комп'ютера служби SQL, коли виконуються такі умови:
  • Є кілька контролерів домену.
  • Згруповані SQL Server.
У цьому випадку SPN для SQL Server може бути видалено з-затримка реплікації служба Active Directory. Це може спричинити проблеми з підключенням до екземпляра SQL Server.

Припустимо, що у вас є такі:
  • Віртуальний екземпляр SQL з іменем Sqlcluster з двома вузлами: вузла A та b-вузол.
  • Вузол A засвiдченi в контролері домену A та b-вузол засвiдченi в контролері домену b.


Виникає наступне:
  1. Sqlcluster екземпляр активним на вузол A і зареєстровані контролер домену A, SPN SQL під Вільний час запуску вгору..
  2. Sqlcluster інстанції не над вузол B коли вузол A, як правило, завершення роботи.
  3. Sqlcluster екземпляр скасовуватися реєстрація його SPN з контролером домену A під Вільний час процесу завершення роботи на вузол A.
  4. На SPN видаляється з контролером домену A, але зміни не ще були репліковані на контролері домену b.
  5. Під Вільний час запуску на b-вузол, Sqlcluster інстанції намагається зареєструватися SQL SPN з контролером домену b. З тих пір, у SPN, все ще існує вузол B не реєструє в SPN.
  6. Після деякого часу контролер домену A повторює видалення SPN (за крок 3) до контролера домену B як частину реплікації служба Active Directory. Кінцевий результат, що не припустиму SPN існує для домену, екземпляр SQL і звідси ви бачите проблеми зі з'єднанням до екземпляра Sqlcluster.

Примітка. Цю проблему усунуто в SQL Server 2012.
Перевірте, чи сервер навколишнє середовище
Перевірте деякі базові настройки на комп’ютер-зразок, де SQL Server встановлено:
  1. Автентифікацію Kerberos не підтримується на комп'ютерах під керуванням Windows 2000, які працюють під керуванням Windows кластеризація Якщо ви подали SP 3 (або пізнішої версії) для Windows 2000. Тому будь-яка спроба використати автентифікацію SSPI звичайна екземпляр SQL Server може не. Щоб отримати додаткові відомості, клацніть на Номер статті для перегляду статті в базі знань Microsoft Knowledge Base:
    235529Підтримка автентифікації Kerberos на кластерах сервер під керуванням Windows 2000
  2. Переконайтеся, що сервер працює під керуванням Windows 2000 з пакетом оновлень 1 (SP1). Для Додаткові відомості про підтримку Kerberos автентифікації на серверах під керуванням Windows 2000, клацніть Номер для перегляду статті в знань Microsoft База:
    267588Відображається протокол IMAP про помилку "Не вдалося створити контекст SSPI" під Вільний час підключення до SQL Server 2000
  3. На кластері обліковий запис А комп'ютера, який ви використовуєте, щоб запустити SQL Server, агент SQL Server або повнотекстового пошуку послуг зміни, наприклад нового пароля, виконайте такі інтерактивні елементи надані в нижченаведеній статті бази знань Майкрософт:
    239885 Як змінити облікові запис А бізнес-партнера служб для кластерних комп ' ютера, на якому запущено SQL Server
  4. Переконайтеся, що обліковий запис А комп'ютера, який використовується для запуску SQL Server має відповідні дозволи. Якщо використовується обліковий запис А комп'ютера, який не є членом група локальних адміністраторів, див "Настройка вгору Windows служби рахунків" в SQL Server Books Online докладний список дозволів, що цей обліковий запис А комп'ютера повинен мати:
    http://msdn2.Microsoft.com/EN-US/Library/aa176564 (SQL.80). aspx
Перевірте середовище клієнта
Перевірте наступне на клієнта:
  1. Переконайтеся, що постачальник послуг оренди застосунків підтримки безпеки NTLM неправильно інстальовано й активовано на клієнта. Щоб отримати додаткові відомості натисніть кнопку Номер для перегляду статті в знань Microsoft База:
    269541протокол IMAP про помилку під Вільний час підключення до SQL Server, якщо відсутній розділ реєстру Windows NT LM безпеки служби підтримки: "не може генерувати SSPI контекст"
  2. Визначити, чи використовується кешованих фінансові дані. Якщо ви ввійшли до клієнта за допомогою кешованих фінансові дані, вийдіть із системи та ввійдіть знову під Вільний час підключення до контролера домену, щоб запобігти кешованих фінансові дані використовується. Для отримання додаткових відомостей про те, як визначити, чи використовується кешованих фінансові дані, натисніть кнопку Наступна стаття Номер статті в базі знань Microsoft Knowledge Base:
    242536Користувач не попередив, коли журналювання на з домену кешованих фінансові дані
  3. Перевірте, чи дати на клієнта і сервера дійсні. Якщо дати занадто далеко один від одного, сертифікати можна вважати недійсними.
  4. SSPI використовується файл, що називається Security.dll. Якщо будь-який інший застосунок інсталює файл, який використовує це ім'я, інші файли використовуються замість фактичного файлу SSPI. Для отримання додаткової інформації, клацніть цей номер статті, щоб переглянути статтю в Microsoft Див.:
    253577Помилка: 80004005 - драйвер ODBC MS SQL Server не вдалося ініціалізувати SSPI пакет
  5. Якщо операційна система (ОС) на клієнтський Microsoft Windows 98, слід інсталювати клієнт для мереж Microsoft компонентів на клієнтський. Щоб отримати додаткові відомості натисніть кнопку Номер для перегляду статті в знань Microsoft База:
    267550Помилка: "твердження помилка" під Вільний час підключення до SQL Server через TCP/IP
Перевірте, чи клієнт Мережева утиліта
У клієнта мережі Utility (CNU) постачається разом із Microsoft даних Access компоненти (MDAC) і використовується для настроювання підключення до комп'ютерів під керуванням сервера SQL. За допомогою утиліти MDAC Cliconfg.exe CNU налаштувати підключення:
  1. На в Загальні вкладки, є способом протоколи визначено змінюється відповідно до MDAC версії. З попередньої MDAC, версіях можна вибрати протокол "за замовчуванням". На останніх версій MDAC ви можете увімкнути один або кілька протоколів з одним у верхній частині списку при підключенні до SQL Server. Оскільки SSPI застосовується лише до TCP/IP, ви можете використовувати різні протокол, такі як іменовані канали, щоб уникнути помилки.
  2. Перевірки на Псевдонім Вкладка в CNU перевірити, що визначено псевдонім для сервера, який ви намагаєтеся підключитися. Якщо визначено псевдонім сервера, перевірте параметри для як цей комп’ютер-зразок налаштований для підключення до SQL Server. Ви можете перевірити це, видаливши псевдонім сервером, щоб переглянути чи змінює поведінку.
  3. Якщо сервер псевдонім не визначено на CNU, додати псевдонім для сервера, до якого ви підключаєтеся. Під Вільний час виконання цього завдання, ви також чітко визначає протокол і бажання додавши IP-адресу та порт.
Вручну створити ім'я учасника служби SQL Server
Щоб отримати додаткові відомості про те, як вручну створити ім'я учасника служби SQL Server клацніть номер статті в базі знань Microsoft Knowledge Base:
319723Як використовувати автентифікацію Kerberos в SQL Server
Безпеки підтримки постачальника інтерфейс (SSPI) є інтерфейсом до Microsoft Windows NT безпеки, який використовується для автентифікації Kerberos і підтримує схему автентифікації NTLM безпеки представник служби підтримки клієнтів. Автентифікація відбувається на рівні операційної системи, під Вільний час входу до домену Windows. Автентифікацію Kerberos доступний лише на комп'ютерах під керуванням Windows 2000, які ввімкнуто автентифікацію Kerberos, які використовують служби служба Active Directory.

SSPI використовується лише для підключення TCP/IP, що виготовляються з використанням перевірки автентичності Windows. Автентифікація Windows, також відомий як надійних зв'язків або вбудованої безпеки. SSPI не використовується для підтримки багатьох протоколів підключення або іменовані канали. Таким чином, можна уникнути проблем шляхом налаштування клієнтів для підключення за протоколом, крім TCP/IP.

Коли в SQL Клієнт сервера намагається використовувати вбудованої безпеки над TCP/IP розетки для віддалених комп’ютер-зразок, який працює SQL Server, Бібліотека мережний клієнт SQL Server використовує SSPI API для виконання безпеки делегування. Мережний клієнт SQL Server (Dbnetlib.dll) робить виклик функції AcquireCredentialsHandle і проходить в "домовитися" для параметра pszPackage . Це повідомляє основні постачальником безпеки для виконання домовитися про делегування. У цьому контексті переговори кошти, щоб спробувати автентифікації Kerberos або NTLM на комп'ютерах під керуванням Windows. Іншими словами, Windows використовувати делегування Kerberos, якщо кінцевий комп’ютер-зразок, який працює SQL Server має пов'язаний, настроєно правильно SPN. Інакше, Windows скористатися перевагою NTLM делегування.

Примітка. Переконайтеся, що ви не сценарій виконання облікового запису під назвою "Системи" для початку будь-який з служби SQL Server (MSSQLServer, SQLServerAgent, MSSearch). На ключове слово система може спричинити конфлікти з ключем розподіл центр (KDC).
Згорнути це зображенняРозгорнути це зображення
assets folding end collapsed

Збирати відомості про відкриття корпусу підтримки клієнтів Microsoft (CSS)

Згорнути це зображенняРозгорнути це зображення
assets folding start collapsed
Якщо причини проблеми не можна отримати за допомогою інтерактивні елементи з виправлення неполадок у цій статті, збирати наступну інформацію і відкриття справі підтримки клієнтів Microsoft (CSS).

Повний список номерів телефонів представник служби підтримки клієнтів клієнтів Microsoft і відомості про вартість обслуговування перейдіть на веб-сайт корпорації Майкрософт:
http://support.Microsoft.com/contactus/?ws=support
  1. Створення звіту sqldiag за SQL Server. Для більш інформацію, зверніться до розділу "sqldiag утиліта" в SQL Server книги Онлайн.
  2. Захоплення знімок екрану помилку на клієнтському комп'ютері.
  3. Відкрийте командний рядок у режимі адміністратора на вузол, що не може підключитися до SQL Server а потім введіть таку команду:
    net start > started.txt
    Ця команда створює файл, що називається Started.txt в каталозі де ви запустіть команду.
  4. Збереження значень для розділу реєстру в такому розділі реєстру на комп'ютері клієнта:
    HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSQLSERVER\CLIENT\CONNECTTO
  5. У середовищі звичайна знайти значення реєстру для кожного вузла кластера:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel
  6. У звичайної середовищі побачити, чи на кожному сервері вузла кластера існує такий розділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLMSsp
  7. Записування результатів, якщо підключення до SQL Server за допомогою на Універсальний про, іменування (UNC) ім'я (або назва мережі SQL на кластері) від клієнта.
  8. Захопити результати, якщо ви ping ім'я (або назва мережі SQL на кластері) від клієнта.
  9. Зберегти ім'я користувача облікових записів, які використовуються для запуску кожного з них служби SQL Server (MSSQLServer, SQLServerAgent, MSSearch).
  10. Професійна підтримка повинна знати, чи SQL Server настроєно для змішаних автентифікації або лише автентифікацію Windows.
  11. Перегляньте, чи можна підключити до комп'ютера, який працює SQL Server за тих же клієнтів за допомогою автентифікації SQL Server.
  12. Перегляньте, чи можна підключитися за допомогою протоколу іменовані канали.

Посилання

Для отримання додаткових відомостей про Kerberos автентифікації та SSPI Безпека робіт, клацніть такі номери статей у в Microsoft Knowledge Base:
266080Відповіді на запитання й відповіді автентифікації Kerberos
231789 Процесу локального входу для Windows 2000
304161 Взаємна автентифікація SSPI вказується на клієнтський, але не на стороні сервера
232179 Kerberos адміністрації у Windows 2000
230476 Опис загальні помилки, пов'язані з Kerberos у Windows 2000
262177 Увімкнення ведення журналу подій Kerberos
277658 Setspn не працює, якщо ім'я домену відрізняється від імені NetBIOS, де зареєстровано SQL Server SPN
244474 Як примусити Kerberos використовувати TCP замість UDP у Windows Server 2003, Windows XP та Windows 2000
Щоб побачити офіційний документ про безпеку Microsoft SQL Server 2000, перейдіть на веб-сайт корпорації Майкрософт:
http://TechNet.Microsoft.com/EN-US/cc984178.aspx
Згорнути це зображенняРозгорнути це зображення
assets folding end collapsed

Властивості

Номер статті: 811889 - Востаннє переглянуто: 11 липня 2013 р. - Редакція: 7.0
Застосовується до:
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL 2005 Server Enterprise
  • Microsoft SQL 2005 Server Workgroup
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Enterprise Evaluation
  • Microsoft SQL Server 2008 Express
  • Microsoft SQL Server 2008 Express with Advanced Services
  • Microsoft SQL Server 2008 R2 Datacenter
  • Microsoft SQL Server 2008 R2 Developer
  • Microsoft SQL Server 2008 R2 Enterprise
  • Microsoft SQL Server 2008 R2 Express
  • Microsoft SQL Server 2008 R2 Express with Advanced Services
  • Microsoft SQL Server 2008 R2 Integration Services
  • Microsoft SQL Server 2008 R2 Standard
  • Microsoft SQL Server 2008 R2 Standard Edition for Small Business
  • Microsoft SQL Server 2008 R2 Web
  • Microsoft SQL Server 2008 R2 Workgroup
  • Microsoft SQL Server 2008 Reporting Services
  • Microsoft SQL Server 2008 Standard
  • Microsoft SQL Server 2008 Standard Edition for Small Business
  • Microsoft SQL Server 2008 Web
  • Microsoft SQL Server 2008 Workgroup
  • Microsoft SQL Server 2012 Developer
  • Microsoft SQL Server 2012 Enterprise
  • Microsoft SQL Server 2012 Express
  • Microsoft SQL Server 2012 Standard
  • Microsoft SQL Server 2012 Web
  • SQL Server 2012 Enterprise Core
Ключові слова: 
kbsqlsetup kbhowtomaster kbhowto kbsmbportal kbmt KB811889 KbMtuk
Машинний переклад
ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 811889

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com