Fehler 401 oder "Fehler bei der Anmeldung für den Benutzer (Null). Ursache: keiner vertrauten SQL Server-Verbindung zugeordnet "Wenn Clients versuchen, eine SMS 2003-Verwaltungspunkt herstellen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 832109 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Nachdem Sie installieren und ein neuen Verwaltungspunkts für Microsoft Systems Management Server (SMS) 2003 konfigurieren, können Sie eine oder mehrere der folgenden Probleme auftreten:
  • Computer werden erkannt und in die SMS-Administratorkonsole als erweiterte Clients angezeigt, aber die SMS-Clientsoftware nicht auf Client-Computern installiert ist.
  • Computer werden erkannt und in die SMS-Administratorkonsole als erweiterte Clients angezeigt, jedoch ist die standard-SMS-Clientsoftware auf dem Computer, der ermittelt wird installiert.
  • Vorhandene Clients melden für Ankündigungen Status nicht.
  • Die folgende Meldung wird in der CAS.log auf dem erweiterten SMS-Client-Computer und das Protokoll SQLERROR auf SQL Server protokolliert:
    Fehler bei der Anmeldung für den Benutzer (null). Grund: Nicht zugeordnete eine vertrauenswürdige SQL Server-Verbindung
  • Das IIS-Protokoll auf dem Verwaltungspunkt kann Fehler 401 enthalten.
Die folgenden Einträge möglicherweise auf dem Verwaltungspunkt in der Datei MP_GetAuth.log angezeigt. Je nachdem, ob der SMS-Client ebenfalls installiert ist, ist diese Datei befindet sich entweder in der \%Windir%\system32\CCM\Logs\ Ordner oder im Ordner "\SMS_CCM\Logs\". (%Windir% ist der Ordner, in dem das Betriebssystem installiert ist.)
<![LOG[CMPDBConnection::Init(): IDBInitialize::Initialize() failed with 0x80004005]LOG]!>
<![LOG[Raising event: [SMS_CodePage(437), SMS_LocaleID(1033)] instance of
MpEvent_ConnectDatabaseFailed {
      ClientID = "GUID:F4AB9DD6-362A-44B4-BAFA-6797AD71C79F";
      DatabaseName = "SMSDBname";
      DateTime = "20030919053031.203000+000";
      ErrorCode = "0x80004005";
      MachineName = "MPcomputername";
      ProcessID = 5124;
      ServerName = "SMSservername";
      SiteCode = "sitecode";
      ThreadID = 3512;
      Win32ErrorCode = 0;
};
]LOG]><time="00:30:31.219+000" date="09-19-2003" component="MP_GetAuth_ISAPI" context="Auth" 
type="1" thread="3512" file="event.cpp:522">
CMPDBConnection::Init(): IDBInitialize::Initialize() failed with 0x80040e4d $$<MP_GetAuth_ISAPI><Wed Feb 4 17:19:29.240 2004 Eastern Standard Time><thread=2664 (0xA68)>

Ursache

Der Verwaltungspunkt kann für das Herstellen einer Verbindung mit dem Server mit Microsoft SQL Server verhindert werden. Diese Probleme können aus einem der folgenden Gründe auftreten:
  • Der Verwaltungspunkt hat die erforderlichen Berechtigungen auf dem SQL Server keinen.
  • Gibt es Probleme mit der Registrierung des SQL Service Principal Name (SPN).
  • Problem im Zusammenhang mit Kerberos oder das Protokoll (DNS = Domain Name System).

Abhilfe

Um dieses Problem zu umgehen, wechseln Sie auf Named Pipes-Verbindung zwischen dem Verwaltungspunkt und dem SQL Server aus einer TCP-Verbindung. Dies kann auch verwendet werden, zu testen, ob das Problem mit der Kerberos-Authentifizierung ist die TCP verwendet.

Benannte Pipes verwendet NTLM-Authentifizierung. Wenn der Wechsel von TCP, Named Pipes das Problem nicht behoben, führen Sie eine Netzwerkmonitor-Ablaufverfolgung, um mögliche Probleme mit der Netzwerkkonnektivität zu untersuchen. Wenn Named Pipes auf dem Verwaltungspunkt aktivieren das Problem behebt, bedeutet dies, dass die Kerberos-Authentifizierung fehlschlägt, und die Schritte zur Problembehandlung in diesem Artikel hilfreich beim Ermitteln der Ursache sein.

Zum Aktivieren von Named Pipes führen Sie Folgendes auf der Management-Server verweisen. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ Cliconfg, und klicken Sie dann auf OK. Damit starten Sie den SQL Server-Clientkonfiguration. Fügen Sie den SQL Server-NetBIOS-Namen auf der Alias Registerkarte mit Named Pipes ausgewählt. Dies ist die Standardeinstellung.

Führen Sie auf dem SQL-Server das SQL Server-Netzwerkkonfiguration, und stellen Sie sicher, dass Named Pipes am oberen Rand der Protokollstapel ist. Der Verwaltungspunkt SQL-Abfragen alle 10 Minuten. Ein Protokolleintrag wird angezeigt, der die Anzahl der Verwaltungspunkte in der Site angibt. Dies zeigt eine erfolgreiche Verbindung an.

Weitere Informationen

Um diese Symptome zu beheben, führen Sie die Schritte in der angegebenen Reihenfolge aus.

Überprüfen Sie die Berechtigungen

Zum Starten der Problembehandlung dieser Symptome, stellen Sie sicher, dass der Verwaltungspunkt über die richtigen Berechtigungen zum Verbinden mit der SQL-Datenbank hat. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf den Management Point server Start, klicken Sie auf Ausführen, Typ cmd, und klicken Sie dann auf OK. Wenn Ihr SMS-Standort unter der standardmäßigen Sicherheitsmodus ausgeführt wird, fahren Sie mit Schritt 4 fort. Wenn Ihr SMS-Standort im erweiterten Sicherheitsmodus ausgeführt wird, fahren Sie mit Schritt 2 fort.
  2. Wenn Ihr SMS-Standort erweiterten Sicherheit ausgeführt wird, starten Sie ein neues Eingabeaufforderungsfenster geöffnet, die unter dem lokalen Systemkonto ausgeführt wird. Zu diesem Zweck geben Sie Folgendes an einer Eingabeaufforderung, und drücken Sie dann die EINGABETASTE:
    ATZeitangabe / interactive Cmd
    Zum Zeitpunkt, den Sie angeben, wird ein neues Eingabeaufforderungsfenster geöffnet, die unter dem Svchost.exe ausgeführt wird.

    Hinweis Zeitangabe sind jederzeit möglich, die später als die aktuelle Uhrzeit im 24-Stunden-Format an.
  3. Geben Sie Folgendes an einer Eingabeaufforderung ein, und drücken Sie die EINGABETASTE:
    Osql-s SQL Server -d SMS-Datenbankname -E
    Hinweis SQL Server der Name des Servers, der SQL Server-und SMS-Datenbankname ist der Name der SQL-Datenbank für den SMS-Standort.

    Wenn dieser Befehl erfolgreich ausgeführt wird, verfügt der Verwaltungspunkt die richtigen Berechtigungen in der SQL-Datenbank. Der Befehl ist erfolgreich Wenn ein 1 > zurückgegeben wird. Typ exit, und drücken Sie dann die EINGABETASTE, um zur Eingabeaufforderung zurückzukehren. Gehen Sie zu Schritt 4, erhält die folgende Fehlermeldung angezeigt:
    Fehler bei der Anmeldung für den Benutzer (null). Grund: Nicht verbunden, mit einer vertrauenswürdigen SQL Server-Verbindung.
  4. Wenn Sie die Fehlermeldung "Anmeldung fehlgeschlagen erhalten" beschrieben wird, die in Schritt 3, wiederholen Sie den Befehl, aber verwenden Sie den vollständig qualifizierten Domänennamen (FQDN). Geben Sie zum Beispiel:
    Osql-s SQLServer.europe.corp.microsoft.com -d SMS-Datenbankname -E
    Wenn der Befehl nicht erfolgreich ist, zeigen Sie die DNS-Einstellungen für die Domäne befindet sich der Management-Computer an
  5. Wenn der Befehl weiterhin, überprüfen fehlschlägt, ob der MSSQLServer Service ein Benutzerkonto verwenden, melden Sie sich mit der Dienst das lokale Systemkonto verwenden, klicken Sie auf die Registerkarte "anmelden" in den Eigenschaften des Dienstes, und führen die Befehle erneut aus. Wenn den Dienst unter Verwendung eines Benutzerkontos ausgeführt werden muss, stellen Sie sicher, dass das Benutzerkonto der Gruppe Domänenadministrator hinzugefügt wird. Außerdem müssen Sie die Schritte im folgenden Artikel der Microsoft Knowledge Base:
    829868 Systems Management Server 2003 Advanced Security Site mit SQL Remote stellt keine Verbindung zu SQL Server her.

Weitere Informationen zur Problembehandlung

  1. Die entsprechenden (Service Principal Name, SPN) Attribute können nicht für das Konto generiert werden, die die SQL-Dienste gestartet. Um dieses Problem zu beheben, müssen Sie den vollqualifizierten Domänennamen (FQDN) und die NetBIOS SPN-Eingaben manuell erstellen. Zu diesem Zweck können Sie das Dienstprogramm SetSPN aus dem Windows 2000 Server Resource Kit. Downloaden Sie das SetSPN-Dienstprogramm finden Sie auf der folgenden Microsoft-Website:
    http://www.Microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
    Das SetSPN-Dienstprogramm muss auf einem Computer ausgeführt werden, die in der SQL Server-Domäne befindet. Sie müssen Domänenadministrator-Anmeldeinformationen verwenden. Bestimmen Sie, ob die SQL-Dienste als Domänenkonto oder als lokales Computerkonto ausgeführt. Um das SetSPN-Dienstprogramm verwenden, um manuell die passenden SPNs zu erstellen, gehen Sie folgendermaßen vor:

    Wenn der SQL-Dienst mit einem Benutzerkonto gestartet wird
    • Wenn Sie um an einer Eingabeaufforderung den FQDN SPN zu erstellen, geben Sie den folgenden Befehl ein:
      Setspn-a MSSQLSvc /SqlHostname.mydomain.com: 1433 SqlServiceAccount
    • Um einen NetBIOS SPN zu erstellen, geben Sie den folgenden Befehl ein:
      Setspn-a MSSQLSvc /SqlHostname: 1433 SqlServiceAccount
    Wenn der SQL-Dienst unter dem lokalen Systemkonto gestartet wird

    Wenn SQL Server unter dem lokalen Systemkonto ausgeführt wird, müssen Sie nicht manuell einen Dienstprinzipalnamen für SQL Server konfigurieren. Der Dienstprinzipalname wird automatisch erstellt, wenn SQL Server startet und wird entfernt, wenn der SQL-Dienst beendet wird. Wenn SQL Server unter einem Domänenbenutzerkonto ausgeführt wird, müssen Sie manuell einen Dienstprinzipalnamen konfigurieren.

    Entfernen von SPN

    Ein doppelter SPN für den Computer, auf dem SQL Server ausgeführt wird, kann Verbindungsprobleme verursachen. Die folgende Prozedur wird vorhandenen SPNs aus SQL Server entfernen und einen neuen SPN hinzufügen:
    1. Beenden Sie den MSSQL-Dienst.
    2. Führen Sie die SETSPN-L Computername Befehl, der alle Dienstprinzipalnamen aufzulisten. Die Ausgabe ähnelt in der Regel die folgenden:
      MSSQLSvc/MySQLServer dasaccount1 
      MSSQLSvc/MySQLServer:1433 
      MSSQLSvc/MySQLServer.MyDomain.com dasaccount1 MSSQLSvc/MySQLServer.MyDomain.com:1433 
      
      Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      319723Gewusst wie: Verwenden von Kerberos-Authentifizierung in SQL Server

      Wenn der MSSQL-Dienst unter dem lokalen Systemkonto ausgeführt wird, wird der SPN der MSSQL-Dienst angehalten wird entfernt. Daher, wenn ein SPN in der Ausgabe aufgeführt ist die SETSPN-L Befehl ist eine doppelte SPN. Wenn der MSSQL-Dienst unter einem Domänenbenutzerkonto ausgeführt wird, der SPN wird weiterhin aufgeführt beim Ausführen der SETSPN-L Befehl. Aus diesem Grund kann nicht ermitteln, ob der SPN ein Duplikat ist. In beiden Fällen um sicherzustellen, dass der Dienstprinzipalname kein Duplikat ist, zu entfernen Sie, und Ersetzen Sie den SPN zu, wie in den Schritten 1 c bis 1i beschrieben.
    3. Wenn alle Einträge, die MSSQLSvc aufgeführt sind, verwenden Sie die SETSPN ? D Befehl ein, um diese Einträge zu entfernen. Geben Sie beispielsweise Folgendes ein:
      SETSPN ? d MSSQLSvc/MySQLServer Das DAS-Konto SETSPN ? D MSSQLSvc /MySQLServer.MyDomain.comDas DAS-Konto>
    4. Führen Sie die SETSPN-L Computername der Befehl erneut aus, um sicherzustellen, dass keine Angebote für MSSQLSvc angezeigt werden.
    5. Wenn der MSSQL-Dienst unter dem lokalen Systemkonto ausgeführt wird, stellen Sie sicher, dass das SQL Server-Startkonto das Konto Lokales System ist. Sie können diese Einstellung konfigurieren, auf dem Sicherheit Registerkarte der Eigenschaften Das Dialogfeld des Servers in SQL Server Enterprise Manager.
    6. Der MSSQL-Dienst unter einem Domänenbenutzerkonto ausgeführt wird, registrieren Sie diesen bei mithilfe der SETSPN-A Befehl wie weiter oben erwähnt.
    7. Starten Sie den MSSQL-Dienst.
    8. Nachdem der Replikation aktualisiert die servicePrincipalName Attribut für alle Domänenkonten, stellen Sie sicher, dass die SPN ordnungsgemäß registriert sind. Führen Sie hierzu den folgenden Befehl aus:
      SETSPN-L Computername
    9. Wenn die SPN ordnungsgemäß registriert sind, Testen Sie die SMS-Verbindung mithilfe der Methoden im Abschnitt "Überprüfen Sie die Berechtigungen".
  2. Jede primäre Site stellen Sie sicher, dass die SMS_SitetoSQLConnection-Gruppe die Computerkonten enthält oder SMS für die untergeordneten Server, die an den primären Standort Berichten Dienstkonten. Diese Konten werden in der Regel zur Sicherheitsgruppe SMS_SitetoSQLConnection hinzugefügt, bei der Installation von einer Website. Wenn das Setup-Programm das Konto hinzugefügt werden kann, wird die folgende Statusmeldung für den Standort in der SMS-Administratorkonsole protokolliert:
    4908 - Standortkomponenten-Manager konnte das Computerkonto nicht hinzufügen""% 1""auf der SQL Access Group""% 2""auf dem SQL Server-Computer"%3".
  3. Kerberos-Ticket-Cache muss möglicherweise zurückgesetzt werden. Verwenden Sie das Kerbtray-Tool aus dem Windows 2000 Server Resource Kit, um den bestehenden Kerberos-Ticket-Cache löschen. Downloaden Sie das Kerbtray-Tool finden Sie auf der folgenden Microsoft-Website:Weitere Informationen dazu, wie Sie das Kerbtray-Tool verwenden, klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
    232179Kerberos-Verwaltung in Windows 2000
  4. Stellen Sie sicher, dass der DNS-Server für die Domäne zuerst in den TCP/IP-Eigenschaften der Management Point Server aufgeführt ist.
  5. Der FQDN für die Zieldomäne muss am oberen Rand der Suffixsuchliste auf dem Management Point Server aufgeführt. Gehen Sie folgendermaßen vor, um die Suffixsuchliste zu ändern:
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ ncpa.cpl, und klicken Sie dann auf OK.
    2. Mit der rechten Maustaste der Verbindungs, die Sie verwenden möchten, ändern, und klicken Sie dann auf Eigenschaften.
    3. In der Name der Verbindungseigenschaften Wählen Sie im Dialogfeld Internet Protocol (TCP/IP) Klicken Sie unter Diese Verbindung verwendet folgende Elemente, und klicken Sie dann auf Eigenschaften.
    4. Auf der Allgemein Registerkarte, klicken Sie auf Erweiterte, und klicken Sie dann auf die DNS Registerkarte.
    5. Klicken Sie auf Hängen Sie diese DNS-Suffixe an (in Reihenfolge), klicken Sie auf die Zieldomäne aus, und verschieben Sie die Zieldomäne an den Anfang der Liste, indem Sie auf den Bildlaufpfeil.
    6. Klicken Sie auf OK zweimal, und klicken Sie dann auf Schließen.

    =====

    HINWEIS: Dieses Problem wurde nur mit Systems Management Server 2003 beobachtet und hat keinen Einfluss auf die System Center Configuration Manager 2007.

Informationsquellen

Weitere Informationen über das Ausführen des erweiterten SMS-Sicherheit mit einem SQL-Remoteserver klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
829868Systems Management Server 2003 Advanced Security Site mit SQL Remote stellt keine Verbindung zu SQL Server her.
Weitere Informationen zum Abrufen von SPNs aus Active Directory klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
298718Wie SPNs aus dem Verzeichnis abgerufen werden.
Weitere Informationen zu Kerberos finden Sie auf die folgenden Artikelnummern klicken, um die betreffenden Artikel in der Microsoft Knowledge Base anzuzeigen:
266080Beantwortet Fragen zu häufig gestelltem Kerberos
326985 Behandlung von Kerberos-Problemen in IIS

Eigenschaften

Artikel-ID: 832109 - Geändert am: Mittwoch, 24. Juli 2013 - Version: 14.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Systems Management Server 2003 Enterprise Edition
Keywords: 
kbsoftwaredist kbclient kbsecurity kbinfo kbmt KB832109 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 832109
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com