Erreur 401 ou « Échec de la connexion pour l'utilisateur « nul ». Raison : non associé à une connexion SQL Server approuvée » lorsque clients tentent de se connecter à un Point de gestion SMS 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 832109 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Une fois que vous installez et configurez un nouveau point de gestion pour Microsoft Systems Management Server (SMS) 2003, vous pouvez rencontrer un ou plusieurs des problèmes suivants :
  • Les ordinateurs sont découverts et apparaissent dans la console Administrateur SMS en tant que clients avancés, mais le logiciel client SMS n'est pas installé sur les ordinateurs clients.
  • Les ordinateurs sont découverts et apparaissent dans la console Administrateur SMS en tant que clients avancés, mais le logiciel client SMS standard est installé sur l'ordinateur qui est détecté.
  • Les clients existants ne signalent pas un statut pour les publicités.
  • Le message suivant est enregistré dans le CAS.log sur l'ordinateur Client SMS avancé et dans le journal SQLERROR sur serveur SQL :
    Échec de la connexion pour l'utilisateur « (null) ». Raison : Non associé à une connexion SQL Server approuvée
  • Le journal IIS sur le point de gestion peut contenir l'erreur 401.
Les entrées suivantes peuvent apparaître sur le point de gestion dans le fichier MP_GetAuth.log. Selon que le client SMS est également installé, ce fichier journal est situé dans le \%windir%dossier \system32\CCM\Logs\ ou dans le dossier \SMS_CCM\Logs\. (%windir% est le dossier où est installé le système d'exploitation.)
<![LOG[CMPDBConnection::Init(): IDBInitialize::Initialize() failed with 0x80004005]LOG]!>
<![LOG[Raising event: [SMS_CodePage(437), SMS_LocaleID(1033)] instance of
MpEvent_ConnectDatabaseFailed {
      ClientID = "GUID:F4AB9DD6-362A-44B4-BAFA-6797AD71C79F";
      DatabaseName = "SMSDBname";
      DateTime = "20030919053031.203000+000";
      ErrorCode = "0x80004005";
      MachineName = "MPcomputername";
      ProcessID = 5124;
      ServerName = "SMSservername";
      SiteCode = "sitecode";
      ThreadID = 3512;
      Win32ErrorCode = 0;
};
]LOG]><time="00:30:31.219+000" date="09-19-2003" component="MP_GetAuth_ISAPI" context="Auth" 
type="1" thread="3512" file="event.cpp:522">
CMPDBConnection::Init(): IDBInitialize::Initialize() failed with 0x80040e4d $$<MP_GetAuth_ISAPI><Wed Feb 4 17:19:29.240 2004 Eastern Standard Time><thread=2664 (0xA68)>

Cause

Le point de gestion peut être évité de se connecter au serveur qui exécute Microsoft SQL Server. Ces problèmes peuvent se produire pour l'une des raisons suivantes :
  • Le point de gestion n'a pas les autorisations appropriées sur le serveur SQL.
  • Il existe des problèmes avec l'enregistrement SQL de nom Principal de Service (SPN).
  • Il existe des problèmes avec Kerberos ou le protocole Domain Name System (DNS).

Contournement

Pour contourner ce problème, passez à partir d'une connexion TCP pour une connexion de canaux nommés entre le point de gestion et le serveur SQL. Cela peut également servir à tester si le problème est avec l'authentification Kerberos, qui utilise TCP.

Authentification de NTLM utilise les canaux nommée. Si le passage du TCP sur canaux nommés ne résout pas le problème, exécutez une trace du Moniteur réseau pour analyser les problèmes de connectivité réseau possibles. Si l'activation des canaux nommés sur le point de gestion résout le problème, il indique que l'authentification Kerberos échoue et les étapes de dépannage dans cet article seront utiles pour diagnostiquer la cause.

Pour activer les canaux nommés, les opérations suivantes sur la gestion pointent server. Cliquez sur Démarrer, cliquez sur Exécuter, type Cliconfg, puis cliquez sur OK. Cette opération démarre l'utilitaire réseau du Client. Ajouter le nom NetBIOS du serveur SQL sur le Alias onglet avec Canaux nommés sélectionné. Il s'agit du paramètre par défaut.

Sur le serveur SQL, exécutez l'utilitaire réseau serveur et assurez-vous que canaux nommés est en haut de la pile de protocole. Le point de gestion des requêtes SQL toutes les 10 minutes. Une entrée de journal s'affiche qui indique le nombre de points de gestion dans le site. Cela indique une connexion réussie.

Plus d'informations

Pour résoudre ces problèmes, suivez les étapes dans l'ordre dans lequel elles sont présentées.

Vérifier les autorisations

Pour démarrer la résolution des problèmes de ces symptômes, vérifiez que le point de gestion dispose des autorisations appropriées pour vous connecter à la base de données SQL. Pour ce faire, procédez comme suit :
  1. Au niveau du serveur de point de gestion, cliquez sur Démarrer, cliquez sur Exécuter, type cmd, puis cliquez sur OK. Si votre site SMS est en cours d'exécution sous le mode de sécurité Standard, passez à l'étape 4. Si votre site SMS est en cours d'exécution dans le mode de sécurité avancé, passez à l'étape 2.
  2. Si votre site SMS est en cours d'exécution la sécurité avancée, démarrez une nouvelle fenêtre d'invite de commande qui s'exécute sous le compte système local. Pour ce faire, tapez la commande suivante à une invite de commande et appuyez sur ENTRÉE :
    ATFutureTime /interactive cmd
    À l'heure que vous spécifiez, s'ouvre une nouvelle fenêtre d'invite de commande qui s'exécute sous Svchost.exe.

    Remarque : FutureTime peut être n'importe quel moment est postérieure à l'heure actuelle, sous forme de 24 heures.
  3. À l'invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :
    osql-s SQLServer -d SMSdbname -E
    Remarque : SQLServer est le nom du serveur qui exécute SQL Server, et SMSdbname est le nom de la base de données SQL de votre site SMS.

    Si cette commande réussit, votre point de gestion dispose des autorisations appropriées pour la base de données SQL. La commande est correcte si un 1 > invite est retourné. Type quitter, puis appuyez sur ENTRÉE pour revenir à l'invite de commande. Si le message d'erreur suivant s'affiche, passez à l'étape 4 :
    Échec de la connexion pour l'utilisateur « (null) ». Raison : Non associé à une confiance SQL Connexion au serveur.
  4. Si vous recevez le message d'erreur « Échoué de la connexion » qui est décrit à l'étape 3, répétez la commande, mais utilisez le nom de domaine complet (FQDN). Par exemple, tapez :
    osql-s SQLServer.europe.corp.microsoft.com -d SMSdbname -E
    Si la commande échoue, affichez les paramètres DNS pour le domaine où se trouve l'ordinateur du point de gestion.
  5. Si la commande échoue encore vérifier si le MSSQLServer Service utilise un compte d'utilisateur pour ouvrir une session avec, modifier le service pour utiliser le compte système Local sur l'onglet connexion dans les propriétés du service puis réexécutez les commandes. Si vous devez exécuter le service à l'aide d'un compte d'utilisateur, assurez-vous que le compte d'utilisateur est ajouté au groupe administrateur de domaine. Vous devez également suivre les étapes décrites dans l'article suivant dans la Base de connaissances Microsoft :
    829868 Site Microsoft Systems Management Server 2003 Advanced Security avec SQL Remote ne se connecte pas à SQL Server

Dépannage supplémentaire

  1. Les attributs de nom Principal de Service (SPN) approprié n'a pas peuvent être générés pour le compte de démarrage des services SQL. Pour résoudre ce problème, vous devez créer manuellement les entrées de SPN NetBIOS et le nom de domaine pleinement qualifié (FQDN). Pour ce faire, vous pouvez utiliser l'utilitaire setspn fourni dans le Kit de ressources Windows 2000 Server. Pour télécharger l'utilitaire SetSPN, reportez-vous au site Web de Microsoft à l'adresse suivante :
    http://www.Microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
    Vous devez exécuter l'utilitaire SetSPN sur un ordinateur qui se trouve dans le domaine de SQL Server. Vous devez utiliser des informations d'identification d'administrateur de domaine. Déterminer si les services SQL s'exécuter sous un compte de domaine ou le compte d'ordinateur local. Pour créer manuellement les SPN appropriés à l'aide de l'utilitaire SetSPN, procédez comme suit :

    Lorsque le service SQL est lancé avec un compte d'utilisateur
    • Pour créer le SPN FQDN dans une fenêtre d'invite de commandes, tapez la commande suivante :
      setspn-a MSSQLSvc /SqlHostname.mydomain.com: 1433 SqlServiceAccount
    • Pour créer le SPN NetBIOS à la fenêtre de commande, tapez la commande suivante :
      setspn-a MSSQLSvc /SqlHostname: 1433 SqlServiceAccount
    Lorsque le service SQL est démarré sous le compte système Local

    Si SQL Server s'exécute sous le compte système local, vous n'êtes pas obligé de configurer manuellement un SPN pour SQL Server. Le SPN est créé automatiquement au démarrage de SQL Server et est supprimée lorsque le service SQL est arrêté. Si SQL Server s'exécute sous un compte d'utilisateur de domaine, vous devez configurer manuellement un nom principal de service.

    Suppression des SPN

    Un SPN en double pour l'ordinateur qui exécute SQL Server peut provoquer des problèmes de connectivité. La procédure suivante va supprimer les SPN existants à partir de SQL Server et ajouter un nouveau nom principal de service :
    1. Arrêtez le service MSSQL.
    2. Exécuter le SETSPN -L nom de l'ordinateur commande pour répertorier tous les noms principaux de service. La sortie est généralement semblable au suivant :
      MSSQLSvc/MySQLServer dasaccount1 
      MSSQLSvc/MySQLServer:1433 
      MSSQLSvc/MySQLServer.MyDomain.com dasaccount1 MSSQLSvc/MySQLServer.MyDomain.com:1433 
      
      Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
      319723Comment faire pour utiliser l'authentification Kerberos dans SQL Server

      Si le service MSSQL s'exécute sous le compte système Local, le SPN est supprimé lorsque le service MSSQL est arrêté. Par conséquent, si un SPN est répertorié dans la sortie de la SETSPN -L commande, il s'agit d'un SPN en double. Si le service MSSQL s'exécute sous un compte d'utilisateur de domaine, le SPN est toujours répertorié lorsque vous exécutez la SETSPN -L commande. Par conséquent, vous ne peut pas déterminer si le nom principal de service est un doublon. Dans les deux cas, pour vous assurer que le nom principal de service n'est pas un doublon, supprimer et remplacer le nom principal de service comme décrit aux étapes 1c à 1i.
    3. Si toutes les entrées qui contiennent MSSQLSvc sont répertoriées, utilisez la SETSPN -D commande pour supprimer ces entrées. Par exemple, tapez ce qui suit :
      SETSPN ? d ? MSSQLSvc/MySQLServer Compte DAS SETSPN -D MSSQLSvc /MySQLServer.MyDomain.comCompte DAS>
    4. Exécuter le SETSPN -L nom de l'ordinateur commande à nouveau afin de vous assurer qu'aucune annonce pour MSSQLSvc n'apparaisse.
    5. Si le service MSSQL s'exécute sous le compte système Local, assurez-vous que le compte de démarrage SQL Server est le compte système Local. Vous pouvez configurer ce paramètre sur le Sécurité onglet dans le Propriétés boîte de dialogue du serveur dans SQL Server Enterprise Manager.
    6. Si le service MSSQL s'exécute sous un compte d'utilisateur de domaine, inscrire le SPN à l'aide de la SETSPN-A commande comme mentionné plus haut.
    7. Redémarrez le service MSSQL.
    8. Après la mise à jour de réplication la nom principal de service attribut sur les comptes de domaine, vérifiez que les noms principaux de service sont correctement enregistrés. Pour ce faire, exécutez la commande suivante :
      SETSPN -L nom de l'ordinateur
    9. Si les SPN sont enregistrés correctement, tester la connexion de SMS en utilisant les méthodes dans la section « Vérifiez les autorisations ».
  2. Sur chaque site principal, assurez-vous que le groupe de sécurité SMS_SitetoSQLConnection contient les comptes d'ordinateurs ou des comptes de services SMS pour tous les serveurs enfant ce rapport au site principal. En règle générale, ces comptes sont ajoutés au groupe de sécurité SMS_SitetoSQLConnection lors de l'installation d'un site. Si le programme d'installation ne peut pas ajouter le compte, le message d'état site suivant est enregistré dans la console Administrateur SMS :
    4908 - Site Component Manager n'a pas pu ajouter le compte d'ordinateur"%1« pour le groupe d'accès SQL »%2"sur l'ordinateur SQL Server"%3".
  3. Le cache de ticket Kerberos peut-être devoir être réinitialisée. Pour effacer le cache de ticket Kerberos existant, utilisez l'outil Kerbtray dans le Kit de ressources Windows 2000 Server. Pour télécharger l'outil Kerbtray, reportez-vous au site Web de Microsoft à l'adresse suivante :Pour plus d'informations sur la façon d'utiliser l'outil Kerbtray, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    232179Administration Kerberos dans Windows 2000
  4. Assurez-vous que le serveur DNS pour le domaine est tout d'abord répertorié dans les propriétés TCP/IP du serveur de point de gestion.
  5. Le nom de domaine complet pour le domaine cible doit figurer en haut de la liste de recherche de suffixe sur le serveur de point de gestion. Pour modifier la liste de recherche de suffixe, procédez comme suit :
    1. Cliquez sur Démarrer, cliquez sur Exécuter, type ncpa.cpl, puis cliquez sur OK.
    2. Cliquez droit sur la connexion que vous souhaitez modifier, puis cliquez sur Propriétés.
    3. Dans le Propriétés de nom de connexion boîte de dialogue, sélectionnez Protocole Internet (TCP/IP) sous Cette connexion utilise les éléments suivants, puis cliquez sur Propriétés.
    4. Sur la Général Cliquez sur Avancée, puis cliquez sur le DNS onglet.
    5. Cliquez sur Ajouter ces suffixes DNS (dans l'ordre), cliquez sur le domaine cible, puis déplacez le domaine cible vers le haut de la liste en cliquant sur la flèche de défilement.
    6. Cliquez sur OK deux fois, puis cliquez sur Fermer.

    =====

    REMARQUE : Ce problème a été observé uniquement avec Systems Management Server 2003 et n'affecte pas de System Center Configuration Manager 2007.

Références

Pour plus d'informations sur l'exécution de SMS fonctions avancées de sécurité avec un serveur SQL distant, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
829868Site Microsoft Systems Management Server 2003 Advanced Security avec SQL Remote ne se connecte pas à SQL Server
Pour plus d'informations sur la récupération des SPN à partir d'Active Directory, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
298718Comment faire pour récupérer des SPN à partir du répertoire
Pour plus d'informations sur Kerberos, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
266080Réponses aux questions fréquemment posées de Kerberos
326985 Comment faire pour résoudre les problèmes liés à Kerberos dans IIS

Propriétés

Numéro d'article: 832109 - Dernière mise à jour: mercredi 24 juillet 2013 - Version: 14.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Systems Management Server 2003 Enterprise Edition
Mots-clés : 
kbsoftwaredist kbclient kbsecurity kbinfo kbmt KB832109 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 832109
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com