文章編號: 811889 - 上次校閱: 2011年9月17日 - 版次: 2.0

如何疑難排解「無法產生 SSPI 內容」錯誤訊息

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

本文將逐步告訴您,如何疑難排解最常見的「無法產生 SSPI 內容」錯誤訊息來源。在下列情況下,您可能會收到這個錯誤訊息:
  • 您正在連線到 SQL Server。
  • 您正在使用整合式安全性。
  • Kerberos 用於執行安全性委派。
回此頁最上方

瞭解 Kerberos 的術語和服務主要名稱

用戶端電腦上的 SQL Server 驅動程式利用整合式安全性來使用使用者帳戶的 Windows 安全性權杖,以成功連線至執行 SQL Server 的電腦。用戶端將 Windows 安全性權杖委派給正在執行 SQL Server 的電腦。當使用者的安全性權杖使用下列其中一項設定委派給其他電腦時,SQL Server 驅動程式將執行此委派:
  • NTLM 透過具名管道 (不使用安全性支援提供者介面 [SSPI])
  • NTLM 透過使用 SSPI 的 TCP/IP 通訊端
  • Kerberos 透過使用 SSPI 的 TCP/IP 通訊端
安全性支援提供者介面 (SSPI) 是 Windows API 的集合,允許透過一般的資料傳輸層進行委派和相互驗證,例如 TCP/IP 通訊端。因此,SSPI 允許執行 Windows 作業系統的電腦安全地將使用者的安全性權杖委派給其他電腦,方法是透過任何能夠傳輸原始位元組資料的資料傳輸層進行。

「無法產生 SSPI 內容」錯誤發生時機為 SSPI 使用 Kerberos 透過 TCP/IP 進行委派,但無法完成必要的作業以將使用者的安全性權杖成功地委派給執行 SQL Server 的目的電腦。

為何安全性支援提供者介面會選擇 NTLM 或 Kerberos

Kerberos 使用名為「服務主要名稱 (SPN)」的識別項。考慮將 SPN 視為網路伺服器資源中某些執行個體唯一的網域或樹系識別項。您可以建立 Web 服務、SQL 服務或 SMTP 服務的 SPN。您也可以在同一部擁有唯一 SPN 的實體電腦上建立多個 Web 服務執行個體。

SQL Server 的 SPN 是由下列項目所組成:
  • ServiceClass:此項目會識別服務的一般類別。此項目必定是 SQL Server 的 MSSQLSvc。
  • 主機:這是正在執行 SQL Server 電腦的完整格式 DNS 網域名稱。
  • 連接埠:這是服務正在接聽的連接埠號碼。
例如,正在執行 SQL Server 電腦的典型 SPN 是:
MSSQLSvc/SQLSERVER1.northamerica.corp.mycompany.com:1433
預設執行個體的 SPN 格式和具名執行個體的 SPN 格式是相同的。連接埠號碼負責將 SPN 繫結至特定的執行個體。

當用戶端的 SQL Server 驅動程式使用整合式安全性連線至 SQL Server,用戶端驅動程式的程式碼會嘗試解析執行 SQL Server 電腦的完整格式 DNS 網域名稱,方法是使用 WinSock 網路 API。為了執行這項作業,驅動程式的程式碼會呼叫 gethostbynamegethostbyaddr WinSock API。即使 IP 位址或主機名稱通過執行 SQL Server 的電腦驗證,如果該電腦使用整合式安全性,SQL Server 驅動程式仍然會嘗試解析連線電腦的 DNS 完整格式。

用戶端的 SQL Server 驅動程式解析完執行 SQL Server 電腦的完整格式 DNS 網域名稱之後,相符的 DNS 會用於替這部電腦建立 SPN。因此,透過 WinSock 將 IP 位址或主機名稱解析為完整格式 DNS 網域名稱的任何相關問題,皆可能會導致 SQL Server 驅動程式在執行 SQL Server 的電腦上建立無效的 SPN。

解析後將導致用戶端 SQL Server 驅動程式 SPN 無效的完整格式 DNS 網域名稱如下:
  • MSSQLSvc/SQLSERVER1:1433
  • MSSQLSvc/123.123.123.123:1433
  • MSSQLSvc/SQLSERVER1.antartica.corp.mycompany.com:1433
  • MSSQLSvc/SQLSERVER1.dns.northamerica.corp.mycompany.com:1433
當 SQL Server 驅動程式建立無效的 SPN,驗證仍然將正常運作,因為 SSPI 介面會嘗試在 Active Directory 目錄服務中查詢 SPN,並且將找不到 SPN。如果 SSPI 介面找不到 SPN,Kerberos 驗證便不會執行。此時,SSPI 層會切換為 NTLM 驗證模式,並使用 NTLM 驗證登入,通常可成功登入。如果 SQL Server 驅動程式建立了有效的 SPN,但未將其指派給適當的容器,則會嘗試使用 SPN 並導致失敗,接著引發「無法產生 SSPI 內容」錯誤訊息。如果 SQL Server 啟動帳戶是本機系統的帳戶,則適當的容器為電腦名稱。對於其他任何的帳戶,適當容器為 SQL Server 啟動帳戶。因為驗證將使用首先找到的 SPN,請確定 SPN 皆已指派給適當的容器。換句話說,每個 SPN 必須分別指派給一個容器。

讓 Kerberos 驗證成功的關鍵因素是網路上 DNS 功能有效。您可以在用戶端和伺服器上使用 Ping 命令列公用程式來檢查這項功能。在用戶端電腦上,執行下列指令以取得執行 SQL Server (此處執行 SQL Server 的電腦名稱為 SQLServer1) 的伺服器的 IP 位址:
ping sqlserver1
若要查看 Ping 命令列公用程式是否解析了 SQLServer1 完整格式的 DNS,請執行下列指令:
ping -a IPAddress
例如:
C:\>ping SQLSERVER1

Pinging SQLSERVER1 [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123:bytes=32 time<10ms TTL=128 Reply from 123.123.123.123:bytes=32 time<10ms TTL=128 Reply from 123.123.123.123:bytes=32 time<10ms TTL=128 Reply from 123.123.123.123:bytes=32 time<10ms TTL=128
	
Ping statistics for 123.123.123.123:Packets:Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum =  0ms, Average =  0ms
C:\>ping -a 123.123.123.123
	
Pinging SQLSERVER1.northamerica.corp.mycompany.com [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123:bytes=32 time<10ms TTL=128 Reply from 123.123.123.123:bytes=32 time<10ms TTL=128 Reply from 123.123.123.123:bytes=32 time<10ms TTL=128 Reply from 123.123.123.123:bytes=32 time<10ms TTL=128 Ping statistics for 123.123.123.123:Packets:Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum =  0ms, Average =  0ms

C:\>
ping -a IPAddress 指令解析了執行 SQL Server 電腦完整格式的 DNS 時,用戶端的解析便為成功。
回此頁最上方

建立 SQL Server 服務主要名稱

這是 Kerberos 和 SQL Server 互動中的部分關鍵。有了 SQL Server,您可使用下列其中一個項目執行 SQL Server 服務:LocalSystem 帳戶、本機使用者帳戶或網域使用者帳戶。當 SQL Server 服務執行個體啟動時,將嘗試呼叫 DsWriteAccountSpn API 於 Active Directory 中註冊自己的 SPN。如果呼叫不成功,事件檢視器會記錄下列警告:

來源:MSSQLServer EventID:19011 描述:SuperSocket 資訊:(SPNRegister):錯誤 8344。

如需有關 DsWriteAccountSpn 功能的詳細資訊,請造訪下列 Microsoft 網站:
http://msdn2.microsoft.com/en-us/library/ms676056.aspx (http://msdn2.microsoft.com/en-us/library/ms676056.aspx)

簡化的說明

如果您使用 LocalSystem 帳戶執行 SQL Server 服務,SPN 將自動註冊,且 Kerberos 將成功與執行 SQL Server 的電腦互動。然而,如果您使用網域帳戶或本機帳戶執行 SQL Server 服務,在大多數情況下嘗試建立 SPN 將會失敗,因為網域帳戶或本機帳戶沒有權限設定各自的 SPN。若 SPN 建立失敗,這表示執行 SQL Server 的電腦上未設定 SPN。如果您試著將網域系統管理員帳戶用於 SQL Server 服務帳戶,SPN 將成功建立,因為建立 SPN 時所需的網域系統管理員階層的憑證存在。

您可能未使用網域系統管理員帳戶執行 SQL Server 服務 (為了避免安全性風險),執行 SQL Server 的電腦可能無法建立其 SPN。因此,如果將電腦連線至執行 SQL Server 的電腦時想要使用 Kerberos,您必須手動為執行 SQL Server 的電腦建立 SPN。如果您使用網域使用者帳戶或本機使用者帳戶執行 SQL Server,就必須按此方式操作。您建立的 SPN 必須指派給特定電腦上執行 SQL Server 服務所用的服務帳戶。除非執行 SQL Server 的電腦使用本機系統啟動,否則 SPN 無法指派給電腦容器。SPN 必須存在且必須是唯一的,系統還必須將其指派給適當的容器。一般來說,該容器是目前的 SQL Server 服務帳戶。然而,這是使用本機系統的電腦帳戶。
回此頁最上方

檢查網域

檢查您登入的網域是否能與執行 SQL Server 的所屬電腦網域通訊。網域中也必須有適當的名稱解析。
  1. 您必須確定供 SQL Server 服務啟動帳戶所用的網域帳戶和密碼能成功登入 Windows。例如,有下列其中一種情況時可能發生 SSPI 錯誤:
    • 網域帳戶遭到鎖定。
    • 帳戶的密碼已變更。不過,密碼變更後您從未重新啟動 SQL Server 服務。
  2. 如果您的登入網域和執行 SQL Server 的電腦網域不同,請檢查網域間的信任關係。
  3. 請檢查伺服器所屬的網域和您用來連線的網域是否位於同樣的樹系中。SSPI 在此前提下才能運作。
  4. 啟動 SQL Server 時請在 [Active Directory 使用者及電腦] 中使用 [帳戶受信任可以委派] 選項。

    注意 [帳戶受信任可以委派] 權限只有在您將目標 SQL 伺服器的憑證委派給遠端 SQL 伺服器時才需要使用,例如雙躍點情況中使用 Windows 驗證的分散式查詢 (連結的伺服器查詢)。
  5. 使用 Windows 2000 資源套件中的管理帳戶服務主要名稱 (SetSPN.exe)」公用程式。Windows 2000 網域系統管理員帳戶或 Windows 2003 網域系統管理員帳戶,可使用該公用程式控制指派給服務及帳戶的 SPN。在使用 SQL Server 的情況下,必須只有一個且是唯一的 SPN。SPN 必須指派給適當的容器,大多數的情況是使用現有的 SQL Server 服務帳戶,若 SQL Server 是以本機系統帳戶啟動,則指派給電腦帳戶。如果您啟動時使用 LocalSystem 帳戶登入 SQL Server,則 SPN 會自動設定。然而,如果您使用網域帳戶啟動 SQL Server,或者在任何時間變更了啟動 SQL Server 的帳戶,則必須執行 SetSPN.exe 來移除逾時的 SPN,並新增有效的 SPN。如需詳細資訊,請參閱《SQL Server 2000 線上叢書》的<安全性帳戶委派>(Security Account Delegation) 主題:如果要執行這項操作,請造訪下列 Microsoft 網站:
    http://msdn2.microsoft.com/en-us/library/aa905162(SQL.80).aspx (http://msdn2.microsoft.com/en-us/library/aa905162(SQL.80).aspx)
    如需有關 Windows 2000 資源套件的詳細資訊,請造訪下列 Microsoft 網站:
    http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx?mfr=true (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx?mfr=true)
  6. 請確認名稱解析正確地執行。名稱解析方法可能包括 DNS、WINS、HOSTS 檔案和 LMHOSTS 檔案。 如需有關名稱解析的問題與疑難排解的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    169790? (http://support.microsoft.com/kb/169790/zh-tw/ ) 如何疑難排解基本的 TCP/IP 問題
  7. 如需有關如何疑難排解 Active Directory 的協助工具及防火牆的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    291382? (http://support.microsoft.com/kb/291382/zh-tw/ ) Windows 2000 DNS 和 Windows Server 2003 DNS 的常見問題集
    224196? (http://support.microsoft.com/kb/224196/zh-tw/ ) 將 Active Directory 複寫流量重新導向至特定連接埠

如何設定 SQL Server 服務並為 SQL Server 執行個體動態建立 SPN

若要設定 SQL Server 服務並動態建立 SPN,必須在 Active Directory 目錄服務中修改帳戶的存取控制設定。您必須授予 SQL Server 服務帳戶「讀取 servicePrincipalName」權限和「寫入 servicePrincipalName」的權限。

警告如果您使用「Active Directory 服務介面 (ADSI) 編輯器」嵌入式管理單元、LDP 公用程式或任何其他 LDAP 第 3 版用戶端,並且錯誤地修改 Active Directory 物件的屬性,將會導致嚴重的問題。這些問題可能會導致您必須重新安裝 Microsoft Windows Server 2003、Microsoft Windows 2000 Server、Microsoft Exchange Server 2003、Microsoft Exchange 2000 Server,或者重新安裝 Windows 和 Exchange。我們無法保證可以解決錯誤修改 Active Directory 物件的屬性所造成的問題。請自行承擔修改這些屬性的一切風險。

注意若要為 SQL Server 的啟動帳戶授予適當的權限和使用者權力,您必須登入為網域系統管理員,或者請求網域系統管理員執行此動作。

若要設定 SQL Server 服務,以動態方式建立 SPN,請依照下列步驟執行:
  1. 按一下 [開始],按一下 [執行],輸入 Adsiedit.msc,然後按一下 [確定]
  2. 在 ADSI 編輯器中,展開 網域 [DomainName]、展開 [DC= RootDomainName]、展開 [CN=Users]、用滑鼠右鍵按一下 [CN= AccountName],再按一下 [屬性]

    注意事項
    • DomainName 是網域名稱的預留位置。
    • RootDomainName 是根網域名稱的預留位置。
    • AccountName 是您指定啟動 SQL Server 服務帳戶的預留位置。
    • 如果您指定 Local System 帳戶來啟動 SQL Server 服務,AccountName 是您用於登入 Microsoft Windows 帳戶的預留位置。
    • 如果您指定網域使用者帳戶來啟動 SQL Server 服務,AccountName 是您用於網域使用者帳戶的預留位置。
  3. [CN= AccountName 屬性] 對話方塊中,按一下 [安全性] 索引標籤。
  4. [安全性] 索引標籤上,按一下 [進階]
  5. [進階安全性設定] 對話方塊中,請確定 [權限項目] 清單中有列出 [SELF]

    如果 [SELF] 未列出,請按一下 [新增],然後再新增 [SELF]
  6. [權限項目] 按一下 [SELF],然後按一下 [編輯]
  7. [權限項目] 對話方塊中,按一下 [內容] 索引標籤。
  8. [內容] 索引標籤、[套用在] 清單上,按一下 [僅此物件],並確定已選取 [權限] 的下列核取方塊權限:
    • 讀取 servicePrincipalName
    • 寫入 servicePrincipalName
  9. 按一下 [確定] 三次,然後結束 [ADSI 編輯器] 嵌入式管理單元。
如需處理程序的說明,請連絡 Active Directory 產品支援服務,並提及此「Microsoft 知識庫」文件。
回此頁最上方

確認伺服器環境

檢查安裝 SQL Server 的電腦上的基本設定:
  1. 執行 Windows 叢集的 Windows 2000 電腦上不支援 Kerberos,除非您已將 Service Pack 3 (或更新版本) 套用至 Windows 2000。因此任何嘗試在 SQL Server 的叢集執行個體上使用 SSPI 驗證的動作皆可能失敗。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    235529? (http://support.microsoft.com/kb/235529/zh-tw/ ) Windows 2000 網域環境中的 MSCS 虛擬伺服器限制
  2. 請確認該伺服器正在執行 Windows 2000 Service Pack 1 (SP1)。 如需有關如何取得 Windows Server 2000 伺服器對 Kerberos 支援的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    267588? (http://support.microsoft.com/kb/267588/zh-tw/ ) 連線至 SQL Server 2000 時顯示「無法產生 SSPI 內容」錯誤訊息
  3. 在叢集上,如果您變更用於啟動 SQL Server、SQL Server Agent 或全文檢索搜尋的帳戶內容,例如使用新的密碼,請依照下列「Microsoft 知識庫」文件中提供的步驟操作:
    239885? (http://support.microsoft.com/kb/239885/zh-tw/ ) 如何變更叢集 SQL Server 電腦的服務帳戶
  4. 請確認您用來啟動 SQL Server 的帳戶是否有適當的權限。如果您使用的帳號並非 [本機管理員] 群組的成員,請參閱《SQL Server 線上叢書》的「設定 Windows 服務帳戶」主題,以取得此帳戶必須具備的詳細權限清單:
    http://msdn2.microsoft.com/en-us/library/aa176564(SQL.80).aspx (http://msdn2.microsoft.com/en-us/library/aa176564(SQL.80).aspx)
回此頁最上方

確認用戶端環境

確認用戶端的下列項目:
  1. 請確定 NTLM 安全性支援提供者已正確安裝並於用戶端啟用。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    269541? (http://support.microsoft.com/kb/269541/zh-tw/ ) INF:與 SQL Server 7.0 連線的時候,遺失的 Windows NT LM Security Support Provider 登錄機碼造成無法產生 SSPI 內容的錯誤訊息
  2. 判斷您是否正在使用快取的憑證。如果您使用快取的憑證登入用戶端,當您可連線至網域控制站時請登出該電腦並再次登入,以避免快取的憑證遭誤用。 如需有關如何判斷是否正在使用快取憑證的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    242536? (http://support.microsoft.com/kb/242536/zh-tw/ ) 若使用者使用快取的網域憑證登入網域,系統不會發出警示
  3. 確認用戶端和伺服器上的日期正確。如果日期相距太遠,您的憑證可能會被視為無效。
  4. SSPI 使用名為 Security.dll 的檔案。如果任何其他應用程式安裝了同樣名稱的檔案,系統可能會使用其他檔案而非原始的 SSPI 檔案。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    253577? (http://support.microsoft.com/kb/253577/zh-tw/ ) 錯誤:80004005 - MS ODBC SQL Server 驅動程式無法初始化 SSPI 套件
  5. 如果用戶端的作業系統是 Microsoft Windows 98,則必須在用戶端安裝 Client for Microsoft Networks 元件。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    267550? (http://support.microsoft.com/kb/267550/zh-tw/ ) BUG:當您透過 TCP/IP 連線至 SQL Server 時顯示「判斷提示失敗」
回此頁最上方

驗證用戶端網路公用程式

用戶端網路公用程式 (CNU) 隨附於 Microsoft Data Access Components (MDAC),功能是用於設定執行 SQL Server 的電腦連線能力。您可以使用 MDAC Cliconfg.exe CNU 公用程式來設定連線能力:
  1. [一般] 索引標籤上,通訊協定的定義方法依 MDAC 版本而異。您可以使用舊版 MDAC 選取「預設」通訊協定。若使用最新版的 MDAC,當連線至時 SQL Server 時,您可以啟用清單頂端的一或多個通訊協定。因為 SSPI 僅適用於 TCP/IP,您可以使用不同的通訊協定,例如具名管道以避免錯誤。
  2. 檢查 CNU 中的 [別名] 索引標籤,以確定您嘗試連線的伺服器是否已經定義其別名。如果伺服器別名已經定義,請檢查這部電腦連線至 SQL Server 的設定方式。驗證方式可透過刪除別名伺服器,以查看行為是否變更。
  3. 如果 CNU 上未定義別名伺服器,請加入您要連線的伺服器別名。當您執行此工作時,同時也明確定義了通訊協定,並且可視需要定義 IP 位址和連接埠。
回此頁最上方

收集資訊並開啟 Microsoft 產品支援 (PSS) 案例

如果此文件中的疑難排解步驟無法讓您瞭解問題的原因,請收集下列資訊並開啟 Microsoft 產品支援 (PSS) 案例:

如需「Microsoft 技術支援處」完整的電話號碼清單,以及支援費用的相關資訊,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ln=zh-tw&ws=support#tab0 (http://support.microsoft.com/contactus/?ln=zh-tw&ws=support#tab0)
  1. 從 SQL Server 產生 sqldiag 報表。如需詳細資訊,請參閱《SQL Server 7.0 線上叢書》的<sqldiag 公用程式>主題:
  2. 擷取用戶端螢幕上的錯誤畫面。
  3. 在無法連線至 SQL Server 的節點上,從命令提示字元中輸入下列命令:
    net start > started.txt
    這個命令會在執行命令的目錄中產生名為 Started.txt 的檔案。
  4. 在用戶端電腦上的登錄機碼儲存下列登錄機碼的值:
    HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSQLSERVER\CLIENT\CONNECTTO
  5. 在叢集環境中,取得每個叢集節點的下列登錄機碼值:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel
  6. 在叢集環境中,查看每個叢集伺服器節點上是否存在下列的登錄機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLMSsp
  7. 如果您是透過用戶端通用命名慣例 (UNC) 的名稱 (或叢集上的 SQL 網路名稱) 連線至 SQL Server,請擷取結果。
  8. 如果您是透過用戶端偵測電腦名稱 (或叢集上的 SQL 網路名稱),請擷取結果。
  9. 儲存您用於啟動每個 SQL Server 服務 (MSSQLServer、SQLServerAgent、MSSearch) 所用的使用者帳戶名稱。
  10. 支援專業人員必定知道 SQL Server 是否設定為混合式驗證或只有 Windows 驗證。
  11. 使用 SQL Server 驗證查看您是否能從同一個用戶端連線至執行 SQL Server 的電腦。
  12. 使用具名管道通訊協定查看是否可以連線。
回此頁最上方

如何手動設定 SQL Server 的服務主要名稱

如需有關如何手動設定 SQL Server 服務主要名稱的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
319723? (http://support.microsoft.com/kb/319723/zh-tw/ ) 如何在 SQL Server 中使用 Kerberos 驗證
安全性支援提供者介面 (SSPI) 是 Microsoft Windows NT 安全性的介面,用於 Kerberos 驗證,並支援 NTLM 安全性支援提供者的驗證配置。當您登入 Windows 網域時,將在作業系統層級執行驗證。Kerberos 僅適用於已經啟用 Kerberos,並使用 Active Directory 的 Windows 2000 電腦。

SSPI 只適用於透過 Windows 驗證的 TCP/IP 連線。(Windows 驗證也稱為受信任的連線或整合式安全性)。SSPI 不會用於具名管道或多重通訊協定的連線。因此,您可以設定 TCP/IP 以外的通訊協定供用戶端連線,以避免這個問題。

當 SQL Server 用戶端嘗試使用整合式安全性,透過 TCP/IP 通訊端連線至執行 SQL Server 的遠端電腦時,SQL Server 用戶端的網路程式庫將使用 SSPI API 來執行安全性委派。SQL Server 網路用戶端 (Dbnetlib.dll) 會呼叫 AcquireCredentialsHandle 函式,並傳遞 pszPackage 參數的「交涉」值。這樣一來便告知了基礎安全性提供者來執行交涉委派。在此情況下,交涉代表嘗試在 Windows 電腦上執行 Kerberos 或 NTLM 驗證。換句話說,如果執行SQL Server 的目的電腦有相關聯且設定正確的 SPN,Windows 將使用 Kerberos 委派。否則,Windows 會使用 NTLM 委派。

注意確認您未使用名為「SYSTEM」的帳戶啟動任何 SQL Server 服務 (MSSQLServer、SQLServerAgent、MSSearch)。關鍵字 SYSTEM 可能會與金鑰發行中心 (KDC) 造成衝突。
回此頁最上方

?考

如需有關 Kerberos 和 SSPI 安全性如何運作的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
266080? (http://support.microsoft.com/kb/266080/zh-tw/ ) Kerberos 常見問題的解答
231789? (http://support.microsoft.com/kb/231789/zh-tw/ ) Windows 2000 的本機登入程序
304161? (http://support.microsoft.com/kb/304161/zh-tw/ ) SSPI 相互驗證在用戶端執行而非伺服器端
232179? (http://support.microsoft.com/kb/232179/zh-tw/ ) 在 Windows 2000 中的 Kerberos 管理
230476? (http://support.microsoft.com/kb/230476/zh-tw/ ) 在 Windows 2000 中與 Kerberos 相關的常見錯誤說明
262177? (http://support.microsoft.com/kb/262177/zh-tw/ ) 如何啟用 Kerberos 事件記錄
277658? (http://support.microsoft.com/kb/277658/zh-tw/ ) 如果網域名稱與註冊 SQL Server SPN 所用的 NetBIOS 名稱不同,Setspn 就會失敗
244474? (http://support.microsoft.com/kb/244474/zh-tw/ ) 如何強制 Kerberos 在 Windows 使用 TCP,而不使用 UDP
326985? (http://support.microsoft.com/kb/326985/zh-tw/ ) 如何在 IIS 中疑難排解 Kerberos 的相關問題
若要查看關於 Microsoft SQL Server 2000 安全性的白皮書,請造訪下列 Microsoft 網站:
http://technet.microsoft.com/en-us/cc984178.aspx (http://technet.microsoft.com/en-us/cc984178.aspx)
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Workgroup Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
回此頁最上方
關鍵字:?
kbsqlsetup kbhowtomaster kbhowto KB811889
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。