Error 401 o "Error de inicio de sesión para usuario '(null)'. Motivo: no asociado con una conexión de SQL Server de confianza "cuando los clientes intentan conectarse a un punto de administración de SMS 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 832109 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Después de instalar y configurar un nuevo punto de administración para Microsoft Systems Management Server (SMS) 2003, puede experimentar uno o varios de los siguientes problemas:
  • Los equipos se descubren y aparecen en la consola de administrador de SMS, como los clientes avanzados, pero no está instalado el software de cliente SMS en los equipos cliente.
  • Los equipos se descubren y aparecen en la consola de administrador de SMS, como los clientes avanzados, pero el software de cliente estándar de SMS está instalado en el equipo en el que se descubre.
  • Los clientes existentes no informan de un estado de los anuncios.
  • En el CAS.log en el equipo de cliente avanzado de SMS y en el registro SQLERROR en el servidor SQL, se registra el siguiente mensaje:
    Error de inicio de sesión para el usuario '(null)'. Motivo: No está asociado a una conexión de SQL Server de confianza
  • El registro IIS en el punto de administración puede contener el Error 401.
Las siguientes entradas pueden aparecer en el punto de administración en el archivo MP_GetAuth.log. Dependiendo de si también se instala el cliente SMS, se encuentra en el archivo de registro el \% windir %la carpeta \system32\CCM\Logs\ o en la carpeta \SMS_CCM\Logs\. (% windir % es la carpeta donde está instalado el sistema operativo).
<![LOG[CMPDBConnection::Init(): IDBInitialize::Initialize() failed with 0x80004005]LOG]!>
<![LOG[Raising event: [SMS_CodePage(437), SMS_LocaleID(1033)] instance of
MpEvent_ConnectDatabaseFailed {
      ClientID = "GUID:F4AB9DD6-362A-44B4-BAFA-6797AD71C79F";
      DatabaseName = "SMSDBname";
      DateTime = "20030919053031.203000+000";
      ErrorCode = "0x80004005";
      MachineName = "MPcomputername";
      ProcessID = 5124;
      ServerName = "SMSservername";
      SiteCode = "sitecode";
      ThreadID = 3512;
      Win32ErrorCode = 0;
};
]LOG]><time="00:30:31.219+000" date="09-19-2003" component="MP_GetAuth_ISAPI" context="Auth" 
type="1" thread="3512" file="event.cpp:522">
CMPDBConnection::Init(): IDBInitialize::Initialize() failed with 0x80040e4d $$<MP_GetAuth_ISAPI><Wed Feb 4 17:19:29.240 2004 Eastern Standard Time><thread=2664 (0xA68)>

Causa

El punto de administración posible que no pueda conectar con el servidor que ejecuta Microsoft SQL Server de. Estos problemas pueden producirse por cualquiera de las siguientes razones:
  • El punto de administración no tiene los permisos correctos en el servidor SQL.
  • Existen problemas con el registro de nombre de entidad de seguridad servicio (SPN) de SQL.
  • Existen problemas con el protocolo de sistema de nombres de dominio (DNS) o de Kerberos.

Solución

Para evitar este problema, cambie de una conexión TCP para una conexión de canalizaciones con nombre entre el punto de administración y el servidor SQL. También puede utilizarse para probar si el problema está relacionado con la autenticación Kerberos, que se utiliza en TCP.

Autenticación de NTLM de utiliza canalizaciones con nombre. Si el problema no se resuelve cambiando de TCP a canalizaciones con nombre, ejecute una traza de Monitor de red para investigar problemas de conectividad de red. Si la habilitación de canalizaciones con nombre en el punto de administración, resuelve el problema, indica que no funciona la autenticación Kerberos y la solución de problemas de este artículo será útil para diagnosticar la causa.

Para habilitar las canalizaciones con nombre, debe apuntar las siguientes acciones en la administración de servidor. Haga clic en Inicio, haga clic en Ejecutar, tipo cliconfgy, a continuación, haga clic en ACEPTAR. Se inicia la herramienta de red de cliente. Agregar el nombre de NetBIOS del servidor SQL en el Alias ficha con Canalizaciones con nombrados seleccionado. Esta es la configuración predeterminada.

En el servidor SQL, ejecute la utilidad de red del servidor y asegúrese de que canalizaciones con nombre está en la parte superior de la pila de protocolo. Punto de administración consultas SQL cada 10 minutos. Aparece una entrada de registro que indica el número de puntos de administración en el sitio. Esto indica una conexión correcta.

Más información

Para solucionar estos síntomas, siga los pasos en el orden en que aparecen.

Comprobar los permisos

Para iniciar la solución de problemas de estos síntomas, compruebe que el punto de administración tiene los permisos correctos para conectarse a la base de datos SQL. Para ello, siga estos pasos:
  1. En el servidor del punto de administración, haga clic en Inicio, haga clic en Ejecutar, tipo cmdy, a continuación, haga clic en ACEPTAR. Si el sitio SMS se ejecuta en el modo de seguridad estándar, vaya al paso 4. Si el sitio SMS se ejecuta en el modo de seguridad avanzada, vaya al paso 2.
  2. Si el sitio SMS ejecuta la seguridad avanzada, inicie una nueva ventana de símbolo del sistema que se ejecuta en la cuenta de sistema local. Para ello, escriba lo siguiente en un símbolo del sistema y, a continuación, presione ENTRAR:
    ATFutureTime /Interactive cmd
    En el momento que especifique, se abre una nueva ventana de símbolo del sistema que se está ejecutando en Svchost.exe.

    Nota FutureTime puede ser cualquier momento que sea posterior a la hora actual, en formato de 24 horas.
  3. En el símbolo del sistema, escriba lo siguiente y presione ENTRAR:
    osql -S SQLServer -d SMSdbname -E
    Nota SQLServer es el nombre del servidor que está ejecutando SQL Server, y SMSdbname es el nombre de la base de datos SQL del sitio SMS.

    Si este comando se ejecuta correctamente, el punto de administración tiene los permisos correctos para la base de datos SQL. El comando tiene éxito si un 1 &gt; se devuelve el símbolo del sistema. Tipo salir, y, a continuación, presione ENTRAR para volver a la línea de comandos. Si recibe el siguiente mensaje de error, vaya al paso 4:
    Error de inicio de sesión para el usuario '(null)'. Motivo: No está asociado con una confianza SQL Conexión de servidor.
  4. Si recibe el mensaje de error "Error de inicio de sesión" que se describe en el paso 3, repita el comando, pero utilice el nombre de dominio completo (FQDN). Por ejemplo, escriba:
    osql -S SQLServer.europe.corp.microsoft.com -d SMSdbname -E
    Si el comando no tiene éxito, ver la configuración de DNS para el dominio donde se encuentra el equipo del punto de administración.
  5. Si el comando no se comprueba si el MSSQLServer Service utiliza una cuenta de usuario para iniciar sesión con, cambie el servicio para utilizar la cuenta de sistema Local en la ficha iniciar sesión, en las propiedades del servicio y vuelva a ejecutar los comandos. Si el servicio se debe ejecutar con una cuenta de usuario, asegúrese de que la cuenta de usuario se agrega al grupo de administradores de dominio. También tendrá que seguir los pasos en el siguiente artículo en Microsoft Knowledge Base:
    829868 Sitio de Systems Management Server 2003 Advanced Security con SQL remoto no se conecta a SQL Server

Solución de problemas adicionales

  1. No se pueden generar los atributos de nombre Principal de servicio (SPN) apropiado para la cuenta que inicia los servicios SQL. Para resolver este problema, debe crear manualmente el nombre de dominio completo (FQDN) y entradas de SPN NetBIOS. Para ello, puede utilizar la herramienta SetSPN del Kit de recursos de Windows 2000 Server. Para descargar la herramienta SetSPN, visite el siguiente sitio Web de Microsoft:
    http://www.Microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
    Debe ejecutar la herramienta SetSPN en un equipo en el que reside en el dominio de la SQL Server. Debe utilizar credenciales de administrador de dominio. Determinar si los servicios SQL se ejecutan como una cuenta de dominio o como la cuenta de equipo local. Para utilizar la herramienta SetSPN para crear manualmente los SPN apropiados, siga estos pasos:

    Cuando se inicia el servicio SQL con una cuenta de usuario
    • Para crear el SPN de FQDN en una ventana de símbolo del sistema, escriba el comando siguiente:
      setspn - A MSSQLSvc /SqlHostname.mydomain.com: 1433 SqlServiceAccount
    • Para crear el SPN NetBIOS en la ventana de comandos, escriba el comando siguiente:
      setspn - A MSSQLSvc /SqlHostname: 1433 SqlServiceAccount
    Cuando se inicia el servicio SQL en la cuenta de sistema Local

    Si SQL Server se ejecuta en la cuenta de sistema local, no es necesario configurar manualmente un SPN para SQL Server. El SPN se crea automáticamente cuando se inicia SQL Server y se quita cuando se detiene el servicio SQL. Si SQL Server se ejecuta en una cuenta de usuario de dominio, debe configurar manualmente un SPN.

    Eliminación de SPN

    Un SPN duplicado para el equipo que ejecuta SQL Server puede causar problemas de conectividad. El siguiente procedimiento quitará los SPN existentes de SQL Server y agregar un SPN nuevo:
    1. Detenga el servicio MSSQL.
    2. Ejecutar el SETSPN -L nombre de equipo comando para enumerar todos los SPN. Normalmente, el resultado similar al siguiente:
      MSSQLSvc/MySQLServer dasaccount1 
      MSSQLSvc/MySQLServer:1433 
      MSSQLSvc/MySQLServer.MyDomain.com dasaccount1 MSSQLSvc/MySQLServer.MyDomain.com:1433 
      
      Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      319723Cómo utilizar la autenticación Kerberos en SQL Server

      Si el servicio MSSQL se ejecuta bajo la cuenta LocalSystem, el SPN se quita cuando se detiene el servicio MSSQL. Por lo tanto, si un SPN se muestra en la salida de la SETSPN -L comando que es un SPN duplicado. Si el servicio MSSQL se ejecuta bajo una cuenta de usuario de dominio, el SPN aún aparece al ejecutar el SETSPN -L comando. Por lo tanto, es posible determinar si el SPN es un duplicado. En ambos casos, para asegurarse de que el SPN no es un duplicado, se puede quitar y reemplazar el SPN, tal como se describe en los pasos 1c al 1i.
    3. Si se muestran todas las entradas que contienen MSSQLSvc, utilice el SETSPN -D comando para quitar las entradas. Por ejemplo, escriba lo siguiente:
      SETSPN ? d ? MSSQLSvc/MySQLServer Cuenta DAS MSSQLSvc SETSPN -D /MySQLServer.MyDomain.comCuenta DAS>
    4. Ejecutar el SETSPN -L nombre de equipo comando nuevo para asegurarse de que no hay anuncios de MSSQLSvc aparecen.
    5. Si el servicio MSSQL se ejecuta bajo la cuenta de sistema Local, asegúrese de que la cuenta de inicio de SQL Server es la cuenta de sistema Local. Puede configurar esta opción en el Seguridad ficha en el Propiedades cuadro de diálogo del servidor en el Administrador corporativo de SQL Server.
    6. Si el servicio MSSQL se ejecuta bajo una cuenta de usuario de dominio, registra el SPN utilizando el SETSPN - A comando como se ha mencionado anteriormente.
    7. Reinicie el servicio MSSQL.
    8. Después de las actualizaciones de replicación la servicePrincipalName atributos en las cuentas de dominio, compruebe que el SPN están registrados correctamente. Para ello, ejecute el siguiente comando:
      SETSPN -L nombre de equipo
    9. Si los SPN registrados correctamente, probar la conexión de SMS con los métodos en la sección "Compruebe los permisos".
  2. En cada sitio principal, asegúrese de que el grupo de seguridad de SMS_SitetoSQLConnection contiene las cuentas de equipo o cuentas de servicio SMS para todos los servidores secundarios que informe al sitio primario. Normalmente, estas cuentas se agregan al grupo de seguridad de SMS_SitetoSQLConnection cuando se instala un sitio. Si el programa de instalación no puede agregar la cuenta, se registra el siguiente mensaje de estado de sitio en la consola de administrador de SMS:
    4908 - Site Component Manager no se pudo agregar la cuenta de equipo"%1"para el grupo de acceso SQL"%2"en el equipo de SQL Server"%3".
  3. La caché de vales de Kerberos tendrá que restablecerse. Para borrar la caché de vales de Kerberos existente, utilice la herramienta Kerbtray del Kit de recursos de Windows 2000 Server. Para descargar la herramienta Kerbtray, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de cómo utilizar la herramienta Kerbtray, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    232179Administración de Kerberos en Windows 2000
  4. Asegúrese de que el servidor DNS para el dominio aparece en primer lugar en las propiedades de TCP/IP del servidor de punto de administración.
  5. El FQDN del dominio de destino debe estar incluido en la parte superior de la lista de búsqueda de sufijos en el servidor del punto de administración. Para cambiar la lista de búsqueda de sufijos, siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, tipo ncpa.cply, a continuación, haga clic en ACEPTAR.
    2. Haga clic en la conexión que desea cambiar y, a continuación, haga clic en Propiedades.
    3. En el Propiedades de nombre de conexión cuadro de diálogo, seleccione Protocolo de Internet (TCP/IP) bajo Esta conexión utiliza los siguientes elementosy, a continuación, haga clic en Propiedades.
    4. En el General Haga clic en Avanzaday, a continuación, haga clic en el DNS ficha.
    5. Haga clic en Anexar estos sufijos DNS (en orden), haga clic en el dominio de destino y, a continuación, mover el dominio de destino a la parte superior de la lista haciendo clic en la flecha de desplazamiento.
    6. Haga clic en ACEPTAR dos veces y haga clic en Cerrar.

    =====

    NOTA: Este problema sólo se ha observado con Systems Management Server 2003 y no afecta a System Center Configuration Manager 2007.

Referencias

Para obtener más información acerca de la ejecución en la seguridad avanzada de SMS con un servidor remoto de SQL, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
829868Sitio de Systems Management Server 2003 Advanced Security con SQL remoto no se conecta a SQL Server
Para obtener más información acerca de cómo recuperar el SPN de Active Directory, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
298718Cómo recuperar los SPN desde el directorio
Para obtener más información acerca de Kerberos, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
266080Respuestas a las preguntas más frecuentes de Kerberos
326985 Cómo solucionar problemas relacionados con Kerberos en IIS

Propiedades

Id. de artículo: 832109 - Última revisión: miércoles, 24 de julio de 2013 - Versión: 14.0
La información de este artículo se refiere a:
  • Microsoft Systems Management Server 2003 Enterprise Edition
Palabras clave: 
kbsoftwaredist kbclient kbsecurity kbinfo kbmt KB832109 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 832109

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com