Sistemas de gestão de Server avançadas de segurança sites com SQL remoto não ligar ao SQL Server

Quando um site do Microsoft Systems Management Server (SMS) 2003 é executado em modo de segurança avançada e tem um servidor de SQL remota, poderá receber a servidor SQL seguinte mensagem de erro de ligação:

Este problema poderá ocorrer se as seguintes condições são verdadeiras:

• Os atributos de nome principal de serviço (SPN) apropriados não são gerados para a conta de serviço iniciar serviços SQL.
  
  - e -
• A conta do serviço SQL não está no grupo de administradores.

Para resolver este problema, terá de criar manualmente nome de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name) e NetBIOS SPN entradas. Para tal, pode utilizar o utilitário SetSPN a partir do Windows 2000 Server recurso Kit. Tem de executar o utilitário SetSPN num computador que reside num domínio do servidor SQL e com uma conta com credenciais de administrador do domínio.

Para utilizar o utilitário SetSPN do Windows 2000 Server Resource Kit para criar manualmente os SPN adequados, siga estes passos:

1. Clique em Iniciar , clique em Executar e, em seguida, na caixa Abrir , escreva:
   cmd
2. Clique em OK .
3. Crie os SPN:
   • Para criar o SPN do FQDN, Fully Qualified Domain Name, quando o serviço SQL é iniciado com uma conta de utilizador de domínio, na linha de comandos, escreva:
     setspn - A MSSQLSvc / sqlhost.mydomain.com: 1433 sqlserviceaccount
   • Para criar o SPN do NetBIOS quando o serviço SQL é iniciado com uma conta de utilizador de domínio, na linha de comandos, escreva:
     setspn - A MSSQLSvc / sqlhost: 1433 sqlserviceaccount
   • Para criar o SPN do FQDN, Fully Qualified Domain Name, quando o serviço SQL é iniciado com conta de sistema ?s SQL server, na linha de comandos, escreva:
     setspn - A MSSQLSvc / sqlhost.mydomain.com: 1433 sqlhost
   • Para criar o SPN do NetBIOS quando o serviço SQL é iniciado com conta do sistema o SQL Server ' ?s, na linha de comandos, escreva:
     setspn - A MSSQLSvc / sqlhost: 1433 sqlhost

Nota Não adicione o prefixo de domínio o nome de conta de serviço porque o utilitário SetSPN não suporta essa acção. O utilitário SetSPN está localizado no CD-ROM do Windows 2000 Resource Kit.

Pode utilizar a ferramenta ADSI para visualizar os SPN para uma conta. A ferramenta ADSI Edit está localizada na pasta Windows Support Tools no CD do Windows 2000 Server e o CD do Windows Server 2003. Para configurar ferramentas de suporte, utilize o programa Setup.exe na pasta Support\Tools\Setup. Depois de instalar o ferramentas de suporte, siga estes passos:

aviso Se utilizar o snap-in ADSI Edit, o utilitário LDP ou qualquer outro cliente LDAP versão 3 e modificar incorrectamente os atributos de objectos do Active Directory, poderá provocar problemas graves. Estes problemas poderão requerer a reinstalação do Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Exchange Server 2003, ou o Windows e Exchange. Microsoft não garante que problemas que ocorrem se modificar incorrectamente os atributos de objecto do Active Directory podem ser resolvidos. Modificar estes atributos da responsabilidade do utilizador.

1. Clique em Iniciar , aponte para programas , aponte para Ferramentas de suporte do Windows 2000 , clique em Ferramentas e, em seguida, clique em ADSI Edit .
2. Expanda Domain NC e, em seguida, expanda CN = utilizadores .
3. Clique com o botão direito do rato a conta que inicia os serviços SQL e, em seguida, clique em Propriedades .
4. Na caixa de diálogo Propriedades , clique em ServicePrincipalName na caixa Seleccione uma propriedade para visualizar e verificar se existem entradas semelhantes às seguintes entradas:
   
   Entrada de SPN FQDN, Fully Qualified Domain Name:

   MSSQLSvc/sqlhost.mydomain.com:1433

   NetBIOS SPN entrada:

   MSSQLSvc/sqlhost:1433

Quando o serviço SQL é executado sob uma conta de utilizador de domínio que seja um membro do grupo Administradores de domínio, o serviço SQL cria automaticamente o SPN de SQL que contém o FQDN do servidor SQL. O serviço SQL não cria o SPN de SQL que contém o nome de NetBIOS ?s SQL server. Se a conta do serviço SQL não estiver no grupo de administradores de domínio, terá de criar manualmente o FQDN, Fully Qualified Domain Name e o SPN de SQL de NetBIOS.

O problema ocorre com maior frequência nos seguintes casos:

• O SQL server e o computador de sistema site estão em domínios diferentes, o serviço de SQL Server é iniciado com uma conta de utilizador ou conta de sistema local ?s SQL server, e o computador de sistema local tenta ligar ao servidor SQL.
• O serviço SQL é executado sob uma conta de utilizador e o computador de sistema do site tenta utilizar conta de computador do servidor de site para ligar ao servidor SQL.

Nota Estes cenários funcionam apenas se o NetBIOS e as entradas de SPN FQDN, Fully Qualified Domain Name existem.

Para mais informações sobre como utilizar o utilitário SetSPN para registar o SPN, consulte a conta de segurança "Delegação" tópico em SQL Books online. Para mais informações sobre o utilitário SetSPN, consulte o Windows 2000 Server Resource Kit .