Errore 401 o "accesso non riuscito per l'utente '(null)'. Motivo: non associato a una connessione SQL Server trusted "quando il client tentano di connettersi a un punto di gestione di SMS 2003

Traduzione articoli Traduzione articoli
Identificativo articolo: 832109 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Dopo aver installato e configurare un nuovo punto di gestione per Microsoft Systems Management Server (SMS) 2003, si verifichi uno o pi¨ dei seguenti problemi:
  • Computer vengono rilevati e visualizzati nella console di amministrazione di SMS come client avanzato, ma il software client SMS non Ŕ installato nel computer client.
  • Computer vengono rilevati e visualizzati nella console di amministrazione di SMS come client avanzato, ma il software del client SMS standard Ŕ installato nel computer in cui viene rilevato.
  • I client esistenti non segnalano lo stato degli annunci.
  • In CAS.log nel computer Client avanzato di SMS e il registro SQLERROR SQL server, viene registrato il seguente messaggio:
    Accesso non riuscito per l'utente '(null)'. Motivo: Non associato a una connessione SQL Server trusted
  • Il log IIS sul punto di gestione pu˛ includere errore 401.
Le seguenti voci appaia sul punto di gestione nel file MP_GetAuth.log. Se anche Ŕ stato installato il client SMS, si trova sia in questo file di registro il \% windir %\system32\CCM\Logs\ cartella o nella cartella \SMS_CCM\Logs\. (% windir % Ŕ la cartella in cui Ŕ installato il sistema operativo).
<![LOG[CMPDBConnection::Init(): IDBInitialize::Initialize() failed with 0x80004005]LOG]!>
<![LOG[Raising event: [SMS_CodePage(437), SMS_LocaleID(1033)] instance of
MpEvent_ConnectDatabaseFailed {
      ClientID = "GUID:F4AB9DD6-362A-44B4-BAFA-6797AD71C79F";
      DatabaseName = "SMSDBname";
      DateTime = "20030919053031.203000+000";
      ErrorCode = "0x80004005";
      MachineName = "MPcomputername";
      ProcessID = 5124;
      ServerName = "SMSservername";
      SiteCode = "sitecode";
      ThreadID = 3512;
      Win32ErrorCode = 0;
};
]LOG]><time="00:30:31.219+000" date="09-19-2003" component="MP_GetAuth_ISAPI" context="Auth" 
type="1" thread="3512" file="event.cpp:522">
CMPDBConnection::Init(): IDBInitialize::Initialize() failed with 0x80040e4d $$<MP_GetAuth_ISAPI><Wed Feb 4 17:19:29.240 2004 Eastern Standard Time><thread=2664 (0xA68)>

Cause

Il punto di gestione potrebbe non essere possibile connettersi al server che esegue Microsoft SQL Server. Questi problemi possono verificarsi per uno qualsiasi dei seguenti motivi:
  • Il punto di gestione non dispone delle autorizzazioni corrette sul server SQL.
  • Problemi con la registrazione SQL principale nome servizio (SPN).
  • Problemi con il protocollo di sistema DNS (Domain Name) o Kerberos.

Workaround

Per aggirare questo problema, passare da una connessione TCP a una connessione Named pipe tra il punto di gestione e il server SQL. Questo consente anche di verificare se il problema riguarda l'autenticazione Kerberos, che utilizza TCP.

Autenticazione NTLM di named pipe viene utilizzato. Se si passa da TCP, Named Pipes non risolve il problema, eseguire una traccia di Network Monitor per esaminare i problemi di connettivitÓ di rete. Se l'attivazione di Named Pipes sul punto di gestione, il problema viene risolto, significa che l'autenticazione Kerberos non riesce e le procedure illustrate in questo articolo sarÓ utile per diagnosticare la causa.

Per attivare le Named pipe, le operazioni seguenti per la gestione facciano riferimento server. Fare clic Inizio, fare clic su Eseguire, tipo Cliconfg, quindi fare clic su OK. VerrÓ avviata l'utilitÓ Configurazione di rete Client. Aggiungere il nome NetBIOS del server SQL sul Alias scheda con Named pipe selezionata. Questa Ŕ l'impostazione predefinita.

Sul server SQL, eseguire l'utilitÓ di rete del Server e assicurarsi che Named Pipes sia nella parte superiore dello stack del protocollo. Il punto di gestione query SQL ogni 10 minuti. ApparirÓ una voce di registro che indica il numero di punti di gestione del sito. Indica una connessione.

Informazioni

Per risolvere questi problemi, seguire i passaggi nell'ordine in cui vengono presentati.

Verificare le autorizzazioni

Per avviare la risoluzione dei problemi relativi a questi sintomi, verificare che il punto di gestione disponga delle autorizzazioni necessarie per connettersi al database SQL. A tale scopo, attenersi alla seguente procedura:
  1. Nel server del punto di gestione, fare clic su Inizio, fare clic su Eseguire, tipo cmd, quindi fare clic su OK. Se il sito SMS Ŕ in esecuzione in modalitÓ di protezione Standard, andare al passaggio 4. Se il sito SMS Ŕ in esecuzione in modalitÓ di protezione avanzata, andare al passaggio 2.
  2. Se il sito SMS Ŕ in esecuzione la protezione avanzata, avviare una nuova finestra del prompt dei comandi in esecuzione con l'account sistema locale. A tale scopo, digitare quanto segue al prompt dei comandi e premere INVIO:
    ATFutureTime /Interactive cmd
    Nel momento in cui si specifica, apre una nuova finestra del prompt dei comandi in esecuzione con Svchost.exe.

    Nota. FutureTime pu˛ essere qualsiasi momento Ŕ successiva rispetto all'ora corrente nel formato 24 ore.
  3. Al prompt dei comandi, digitare quanto segue e premere INVIO:
    osql -S SQL Server -d SMSdbname -E
    Nota. SQL Server Ŕ il nome del server che esegue SQL Server, e SMSdbname Ŕ il nome del database SQL per il sito SMS.

    Se questo comando ha esito positivo, il punto di gestione dispone delle autorizzazioni corrette per il database SQL. Il comando viene eseguito se un 1 > viene restituito il prompt dei comandi. Tipo Esci, quindi premere INVIO per tornare al prompt dei comandi. Se viene visualizzato il seguente messaggio di errore, andare al passaggio 4:
    Accesso non riuscito per l'utente '(null)'. Motivo: Non associato a un SQL trusted Connessione al server.
  4. Se viene visualizzato il messaggio di errore "Accesso non riuscito" descritto nel passaggio 3, ripetere il comando, ma utilizzare il nome di dominio completo (FQDN). Ad esempio, digitare:
    osql -S SQLServer.europe.corp.microsoft.com -d SMSdbname -E
    Se il comando non riesce, visualizzare le impostazioni DNS per il dominio in cui si trova il computer del punto di gestione.
  5. Se ancora il comando ha esito negativo di controllo per verificare se il MSSQLServer Service utilizza un account utente per accedere con, modificare il servizio per utilizzare l'account sistema locale nella scheda Registro nelle proprietÓ del servizio ed eseguire di nuovo i comandi. Se il servizio deve essere eseguito utilizzando un account utente, assicurarsi che l'account utente viene aggiunto al gruppo di amministratori di dominio. ╚ possibile eseguire la procedura descritta nel seguente articolo della Microsoft Knowledge Base:
    829868 Sito di Systems Management Server 2003 Advanced Security con SQL remoto non si connette a SQL Server

Ulteriore risoluzione dei problemi

  1. Gli attributi appropriati del nome dell'entitÓ servizio (SPN) non possono essere generati per l'account che ha avviato i servizi SQL. Per risolvere questo problema, Ŕ necessario creare manualmente le voci di SPN NetBIOS e il nome di dominio completo (FQDN). A tale scopo, Ŕ possibile utilizzare l'utilitÓ SetSPN da Windows 2000 Server Resource Kit. Per scaricare l'utilitÓ SetSPN, visitare il seguente sito Web Microsoft:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
    In un computer che si trova nel dominio di SQL Server, Ŕ necessario eseguire l'utilitÓ SetSPN. ╚ necessario utilizzare le credenziali di amministratore di dominio. Determinare se i servizi SQL eseguita come un account di dominio o come account del computer locale. Per utilizzare l'utilitÓ SetSPN per creare manualmente gli SPN appropriati, attenersi alla seguente procedura:

    Quando il servizio SQL viene avviato con un account utente
    • Per creare il SPN FQDN in una finestra del prompt dei comandi, digitare il seguente comando:
      Setspn - A MSSQLSvc nel caso /SqlHostname.mydomain.com: 1433 SqlServiceAccount
    • Per creare il SPN NetBIOS nella finestra di comando, digitare il seguente comando:
      Setspn - A MSSQLSvc nel caso /SqlHostname: 1433 SqlServiceAccount
    Quando il servizio SQL viene avviato con l'account sistema locale

    Se SQL Server viene eseguito con l'account sistema locale, Ŕ necessario configurare manualmente un SPN per SQL Server. il SPN viene creato automaticamente all'avvio di SQL Server e viene rimosso quando viene interrotto il servizio SQL. Se SQL Server viene eseguito con un account utente di dominio, Ŕ necessario configurare manualmente un SPN.

    Rimozione di SPN

    Un SPN duplicato per il computer che esegue SQL Server potrebbe causare problemi di connettivitÓ. La procedura seguente rimuoverÓ eventuali nomi SPN esistenti da SQL Server e aggiungere un SPN nuovo:
    1. Arrestare il servizio MSSQL.
    2. Eseguire il SETSPN -L nome del computer comando per elencare tutti i nomi SPN. L'output Ŕ in genere simile al seguente:
      MSSQLSvc/MySQLServer dasaccount1 
      MSSQLSvc/MySQLServer:1433 
      MSSQLSvc/MySQLServer.MyDomain.com dasaccount1 MSSQLSvc/MySQLServer.MyDomain.com:1433 
      
      Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
      319723Come utilizzare l'autenticazione Kerberos in SQL Server

      Se il servizio MSSQL viene eseguito con l'account LocalSystem, SPN viene rimosso quando viene interrotto il servizio MSSQL. Pertanto, se un SPN Ŕ elencato nell'output della SETSPN -L il comando, Ŕ un SPN duplicato. Se il servizio MSSQL viene eseguito con un account utente di dominio, il SPN Ŕ comunque elencato quando si esegue il SETSPN -L comando. Pertanto, non Ŕ possibile determinare se il SPN Ŕ un duplicato. In entrambi i casi, per assicurarsi che il SPN non Ŕ un duplicato, rimuovere e sostituire il nome SPN seguendo i passaggi da 1c a 1i.
    3. Se sono elencate le voci contenenti MSSQLSvc nel caso, utilizzare il SETSPN -D comando per rimuovere tali voci. Ad esempio, digitare quanto segue:
      SETSPN ? d ? MSSQLSvc nel caso/MySQLServer Account DAS SETSPN -D MSSQLSvc nel caso /MySQLServer.MyDomain. comAccount DAS>
    4. Eseguire il SETSPN -L nome del computer comando per assicurarsi che nessuna voce per MSSQLSvc nel caso vengano visualizzati.
    5. Se il servizio MSSQL viene eseguito con l'account sistema locale, assicurarsi che l'account di avvio di SQL Server Ŕ l'account sistema locale. ╚ possibile configurare questa impostazione sul Protezione scheda di ProprietÓ Nella finestra di dialogo del server in SQL Server Enterprise Manager.
    6. Se il servizio MSSQL viene eseguito con un account utente di dominio, registrare il nome SPN utilizzando il SETSPN - A comando come indicato in precedenza.
    7. Riavviare il servizio MSSQL.
    8. Dopo l'aggiornamento di replica il servicePrincipalName attributo su qualsiasi account di dominio, verificare che il SPN sono registrati correttamente. A tale scopo, eseguire il comando riportato di seguito:
      SETSPN -L nome del computer
    9. Se il SPN sono registrati correttamente, verificare la connessione di SMS utilizzando i metodi nella sezione "Verifica delle autorizzazioni".
  2. In ciascun sito primario, assicurarsi che il gruppo di protezione SMS_SitetoSQLConnection contiene gli account computer o account del servizio SMS per tutti i server secondari che fanno capo al sito principale. In genere, questi account vengono aggiunti al gruppo di protezione SMS_SitetoSQLConnection durante l'installazione di un sito. Se il programma di installazione Ŕ possibile aggiungere l'account, viene registrato il seguente messaggio di stato del sito nella console di amministrazione di SMS:
    4908 - Site Component Manager Impossibile aggiungere l'account del computer"%1"al gruppo di accesso SQL"%2"nel computer SQL Server"%3".
  3. La cache dei ticket Kerberos potrebbe essere necessario reimpostare. Per cancellare la cache dei ticket Kerberos esistente, utilizzare lo strumento di Kerbtray da Windows 2000 Server Resource Kit. Per scaricare lo strumento di Kerbtray, visitare il seguente sito Web Microsoft:Per ulteriori informazioni su come utilizzare lo strumento di Kerbtray, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
    232179Amministrazione Kerberos in Windows 2000
  4. Assicurarsi che il server DNS per il dominio viene elencato per primo nelle proprietÓ TCP/IP del server del punto di gestione.
  5. Il nome FQDN del dominio di destinazione devono essere elencati nella parte superiore dell'elenco di ricerca suffisso sul server del punto di gestione. Per modificare l'elenco di ricerca suffissi, attenersi alla seguente procedura:
    1. Fare clic Inizio, fare clic su Eseguire, tipo ncpa. cpl, quindi fare clic su OK.
    2. Pulsante destro del mouse sulla connessione che si desidera modificare e quindi fare clic su ProprietÓ.
    3. Nella finestra di dialogo ProprietÓ nome connessione Nella finestra di dialogo, seleziona Protocollo Internet (TCP/IP) Nella casella di gruppo La connessione utilizza i seguenti elementi, quindi fare clic su ProprietÓ.
    4. Nel Generale Fare clic su Avanzate, quindi scegliere il DNS scheda.
    5. Fare clic Aggiungi questi suffissi DNS (nell'ordine), fare clic sul dominio di destinazione e quindi spostarla il dominio di destinazione nella parte superiore dell'elenco facendo clic sulla freccia di scorrimento.
    6. Fare clic OK due volte, quindi fare clic su Chiudere.

    =====

    NOTA: Questo problema Ŕ stato osservato solo con Systems Management Server 2003 e non influisce sulla System Center Configuration Manager 2007.

Riferimenti

Per ulteriori informazioni sull'esecuzione in protezione avanzata di SMS con un server SQL remoto, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
829868Sito di Systems Management Server 2003 Advanced Security con SQL remoto non si connette a SQL Server
Per ulteriori informazioni sul recupero SPN da Active Directory, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
298718Come recuperare SPN dalla directory
Per ulteriori informazioni su Kerberos, fare clic sui seguenti numeri di articolo per visualizzare gli articoli della Microsoft Knowledge Base:
266080Risposte alle domande pi¨ frequenti di Kerberos
326985 Come risolvere i problemi relativi a Kerberos in IIS

ProprietÓ

Identificativo articolo: 832109 - Ultima modifica: mercoledý 24 luglio 2013 - Revisione: 14.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Systems Management Server 2003 Enterprise Edition
Chiavi:á
kbsoftwaredist kbclient kbsecurity kbinfo kbmt KB832109 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 832109
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com