Erro 401 ou "Login failed for user (null). Motivo: não associado uma ligação de servidor SQL fidedigna "quando os clientes tentarão ligar a um ponto de gestão do SMS 2003

Traduções de Artigos Traduções de Artigos
Artigo: 832109 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Depois de instalar e configurar um novo ponto de gestão para o Microsoft Systems Management Server (SMS) 2003, poderá detectar um ou mais dos seguintes problemas:
  • Computadores são descobertos e aparecem na consola do administrador do SMS como clientes avançados, mas o software de cliente do SMS não está instalado nos computadores cliente.
  • Computadores são descobertos e aparecem na consola do administrador do SMS como clientes avançados, mas o software de cliente SMS padrão é instalado no computador que seja descoberto.
  • Clientes existentes não comunicam o estado de anúncios.
  • Na CAS.log no computador cliente avançado de SMS e no registo de SQLERROR no SQL server, é registada a seguinte mensagem:
    Início de sessão falhou para o utilizador '(null)'. Motivo: Não associado a uma ligação fidedigna do SQL Server
  • O registo do IIS no ponto de gestão pode conter o erro 401.
As seguintes entradas podem aparecer no ponto de gestão no ficheiro MP_GetAuth.log. Consoante o cliente SMS é também instalado, o ficheiro de registo está localizado na \% windir %pasta \system32\CCM\Logs\ ou na pasta \SMS_CCM\Logs\. (% windir % é a pasta onde o sistema operativo está instalado.)
<![LOG[CMPDBConnection::Init(): IDBInitialize::Initialize() failed with 0x80004005]LOG]!>
<![LOG[Raising event: [SMS_CodePage(437), SMS_LocaleID(1033)] instance of
MpEvent_ConnectDatabaseFailed {
      ClientID = "GUID:F4AB9DD6-362A-44B4-BAFA-6797AD71C79F";
      DatabaseName = "SMSDBname";
      DateTime = "20030919053031.203000+000";
      ErrorCode = "0x80004005";
      MachineName = "MPcomputername";
      ProcessID = 5124;
      ServerName = "SMSservername";
      SiteCode = "sitecode";
      ThreadID = 3512;
      Win32ErrorCode = 0;
};
]LOG]><time="00:30:31.219+000" date="09-19-2003" component="MP_GetAuth_ISAPI" context="Auth" 
type="1" thread="3512" file="event.cpp:522">
CMPDBConnection::Init(): IDBInitialize::Initialize() failed with 0x80040e4d $$<MP_GetAuth_ISAPI><Wed Feb 4 17:19:29.240 2004 Eastern Standard Time><thread=2664 (0xA68)>

Causa

O ponto de gestão pode ser impedido de ligar ao servidor que esteja a executar o Microsoft SQL Server. Estes problemas poderão ocorrer para qualquer um dos seguintes motivos:
  • O ponto de gestão não tem as permissões correctas no SQL server.
  • Existem problemas com o registo de nome de Principal serviço do SQL (SPN).
  • Existem problemas com Kerberos ou o protocolo de sistema de nomes de domínio (DNS).

Como contornar

Para contornar este problema, mude a partir de uma ligação de TCP para uma ligação de encaminhamentos com nome entre o ponto de gestão e o SQL server. Também pode ser utilizado para testar se o problema estiver relacionado com a autenticação Kerberos, que utiliza TCP.

Autenticação de NTLM do utilizações de Pipes com nome. Se mudar de TCP para encaminhamentos com nome não resolver o problema, execute um rastreio do Monitor de rede para investigar problemas de conectividade de rede possíveis. Se a activação de encaminhamentos com nome no ponto de gestão resolve o problema, indica que está a falhar a autenticação Kerberos e os passos de resolução de problemas no presente artigo será útil para diagnosticar a causa.

Para activar Named Pipes, o seguinte sobre a gestão aponte servidor. Clique em Iniciar, clique em Executar, tipo cliconfge, em seguida, clique em OK. Este procedimento inicia o utilitário de rede do cliente. Adicionar o nome de NetBIOS do servidor SQL a Alias separador com Pipes nomeados seleccionada. Esta é a predefinição.

O SQL Server, execute o utilitário de rede do servidor e certifique-se de que encaminhamentos com nome está no topo da pilha do protocolo. A gestão aponte consultas SQL em 10 minutos. Aparecerá uma entrada de registo que indica o número de pontos de gestão no site. Isto indica que uma ligação com êxito.

Mais Informação

Para resolver estes sintomas, siga os passos pela ordem em que são apresentados.

Verificar permissões

Para iniciar a resolução destes sintomas, verifique se o ponto de gestão tem as permissões correctas para ligar à base de dados de SQL. Para tal, siga estes passos:
  1. No servidor de ponto de gestão, clique em Iniciar, clique em Executar, tipo cmde, em seguida, clique em OK. Se o site do SMS é executado sob o modo de segurança padrão, vá para o passo 4. Se o site SMS está em execução no modo de segurança avançada, vá para o passo 2.
  2. Se o site SMS está em execução avançadas de segurança, inicie uma nova janela de linha de comandos que está a ser executado sob a conta de sistema local. Para tal, escreva o seguinte numa linha de comandos e, em seguida, prima ENTER:
    ATFutureTime /Interactive cmd
    No momento que especificar, abre uma nova janela de linha de comandos que está em execução sob Svchost.exe.

    Nota FutureTime pode ser qualquer tempo que é posterior à hora actual, sob forma de 24 horas.
  3. Na linha de comandos, escreva o seguinte e, em seguida, prima ENTER:
    OSQL -S SQLServer -d SMSdbname -E
    Nota SQLServer é o nome do servidor que executa o SQL Server, e SMSdbname é o nome da base de dados SQL para o site do SMS.

    Se este comando tiver êxito, o ponto de gestão tem as permissões correctas para a base de dados SQL. O comando tiver êxito se um 1 > linha de comandos é devolvida. Tipo sair, e, em seguida, prima ENTER para regressar à linha de comandos. Se receber a seguinte mensagem de erro, avance para o passo 4:
    Início de sessão falhou para o utilizador '(null)'. Motivo: Não associado a um SQL fidedigna Ligação ao servidor.
  4. Se receber a mensagem de erro "Falha ao iniciar sessão" descrito no passo 3, repita o comando, mas utilizar o totalmente domínio nome qualificado (FQDN). Por exemplo, escreva:
    OSQL -S SQLServer.europe.corp.microsoft.com -d SMSdbname -E
    Se o comando não tiver êxito, visualize as definições de DNS para o domínio onde se encontra o computador de ponto de gestão.
  5. Se o comando falhar, ainda, verifique se o serviço MSSQLServer está a utilizar uma conta de utilizador para iniciar sessão com, alterar o serviço para utilizar a conta de sistema Local no separador Iniciar sessão nas propriedades do serviço e volte a executar os comandos. Se tiver de executar o serviço utilizando uma conta de utilizador, certifique-se de que a conta de utilizador é adicionada ao grupo de administradores de domínio. Também terá de seguir os passos no seguinte artigo na Microsoft Knowledge Base:
    829868 Site de segurança de avançada do Management Server 2003 de sistemas com SQL remoto não ligar ao SQL Server

Resolução de problemas adicionais

  1. Os atributos apropriados do nome Principal de serviço (SPN) não podem ser gerados para a conta que foi iniciado os serviços do SQL. Para resolver este problema, tem de criar manualmente as entradas de SPN de NetBIOS e o nome de domínio totalmente qualificado (FQDN). Para tal, pode utilizar o utilitário SetSPN exe do Windows 2000 Server Resource Kit. Para transferir o utilitário SetSPN exe, visite o seguinte Web site da Microsoft:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
    Tem de executar o utilitário SetSPN exe num computador que reside no domínio do servidor SQL. Tem de utilizar credenciais de administrador de domínio. Determine se os serviços SQL executada como uma conta de domínio ou a conta de computador local. Para utilizar o utilitário SetSPN exe para criar manualmente o SPN adequado, siga estes passos:

    Quando o serviço SQL é iniciado com uma conta de utilizador
    • Para criar o SPN do FQDN uma janela de linha de comandos, escreva o seguinte comando:
      setspn - A MSSQLSvc /SqlHostname.mydomain.com: 1433 SqlServiceAccount
    • Para criar o SPN do NetBIOS na janela de comandos, escreva o seguinte comando:
      setspn - A MSSQLSvc /SqlHostname: 1433 SqlServiceAccount
    Quando o serviço SQL é iniciado na conta de sistema Local

    Se o SQL Server é executado sob a conta de sistema local, não tem de configurar manualmente um SPN para o SQL Server. O SPN é criado automaticamente quando o SQL Server é iniciado e é removida quando o serviço SQL está parado. Se o SQL Server é executado numa conta de utilizador de domínio, tem de configurar manualmente um SPN.

    Remoção de SPN

    Um SPN duplicado para o computador que esteja a executar o SQL Server pode causar problemas de conectividade. O seguinte procedimento removerá qualquer SPNs existentes do SQL Server e adicionar um SPN de novo:
    1. Pare o serviço MSSQL.
    2. Executar o SETSPN -L nome do computador comando para listar todos os SPN. Normalmente, a saída semelhante ao seguinte:
      MSSQLSvc/MySQLServer dasaccount1 
      MSSQLSvc/MySQLServer:1433 
      MSSQLSvc/MySQLServer.MyDomain.com dasaccount1 MSSQLSvc/MySQLServer.MyDomain.com:1433 
      
      Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
      319723Como utilizar a autenticação Kerberos no SQL Server

      Se o serviço MSSQL é executado sob a conta de sistema Local, o SPN é removido quando o serviço MSSQL está parado. Por conseguinte, se estiver listado um SPN na produção do SETSPN -L o comando, é um SPN de duplicados. Se o serviço MSSQL for executado numa conta de utilizador de domínio, o SPN continua listado quando executa o SETSPN -L comando. Por conseguinte, não consegue determinar se o SPN é um duplicado. Em ambos os casos, para se certificar de que o SPN não é um duplicado, remover e substituir o SPN, tal como descrito nos passos 1 ° c. a 1i.
    3. Se quaisquer entradas que contenham MSSQLSvc listadas, utilize a SETSPN -D comando para remover os movimentos. Por exemplo, escreva o seguinte:
      SETSPN-MSSQLSvc do ?D/MySQLServer Conta DAS MSSQLSvc -D SETSPN /MySQLServer.MyDomain.comConta DAS>
    4. Executar o SETSPN -L nome do computador comando novamente para se certificar de que não existem listagens para MSSQLSvc aparecem.
    5. Se o serviço MSSQL é executado sob a conta de sistema Local, certifique-se de que a conta de início do SQL Server é a conta de sistema Local. Pode configurar esta definição no Segurança separador na Propriedades caixa de diálogo do servidor no SQL Server Enterprise Manager.
    6. Se o serviço MSSQL for executado numa conta de utilizador de domínio, regista o SPN utilizando o SETSPN - A comando tal como mencionado anteriormente.
    7. Reinicie o serviço MSSQL.
    8. Após as actualizações de replicação a servicePrincipalName atributo de quaisquer contas de domínio, verifique se o SPN está correctamente registado. Para tal, execute o seguinte comando:
      SETSPN -L nome do computador
    9. Se o SPN está correctamente registado, teste a ligação do SMS utilizando os métodos na secção "Verificar permissões".
  2. Em cada site principal, certifique-se de que o grupo de segurança SMS_SitetoSQLConnection contém as contas de computador ou serviço SMS contas para todos os servidores subordinados desse relatório para o site principal. Normalmente, estas contas são adicionadas ao grupo de segurança de SMS_SitetoSQLConnection, quando um site é instalado. Se o programa de configuração não é possível adicionar a conta, é registada a seguinte mensagem de estado do site na consola do administrador do SMS:
    Gestor de componentes do site da 4908 - não foi possível adicionar a conta de computador"%1"para o grupo de acesso SQL"%2"no computador do SQL Server"%3".
  3. A cache de permissão Kerberos poderá ter de ser reposta. Utilize a ferramenta de Kerbtray do Windows 2000 Server Resource Kit para limpar a cache de permissão Kerberos existente. Para transferir a ferramenta de Kerbtray, visite o seguinte Web site da Microsoft:Para mais informações sobre como utilizar a ferramenta de Kerbtray, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
    232179Administração de Kerberos no Windows 2000
  4. Certifique-se de que o servidor de DNS para o domínio é listado em primeiro lugar nas propriedades TCP/IP do servidor de gestão de ponto.
  5. O FQDN para o domínio de destino tem de estar listado na parte superior da lista de procura de sufixo no servidor de ponto de gestão. Para alterar a lista de procura de sufixos, siga estes passos:
    1. Clique em Iniciar, clique em Executar, tipo ncpa. cple, em seguida, clique em OK.
    2. Botão direito do rato na ligação que pretende alterar e, em seguida, clique em Propriedades.
    3. No Propriedades de nome de ligação caixa de diálogo, seleccione Protocolo Internet (TCP/IP) em Esta ligação utiliza os seguintes itense, em seguida, clique em Propriedades.
    4. Sobre o Geral Clique em Avançadase, em seguida, faça clique sobre o DNS separador.
    5. Clique em Acrescentar estes sufixos DNS (por ordem), clique no domínio de destino e, em seguida, mova o domínio de destino para a parte superior da lista clicando na seta de deslocamento.
    6. Clique em OK duas vezes e, em seguida, clique Fechar.

    =====

    NOTA: Este problema só foi detectado Systems Management Server 2003 e não afecta o System Center Configuration Manager 2007.

Referências

Para mais informações sobre a execução de segurança avançado de SMS com o SQL server remota, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
829868Site de segurança de avançada do Management Server 2003 de sistemas com SQL remoto não ligar ao SQL Server
Para mais informações sobre como obter o SPN do Active Directory, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
298718Como obter o SPN do directório
Para mais informações sobre Kerberos, clique nos números de artigo que se segue para visualizar os artigos na Microsoft Knowledge Base:
266080Respostas às perguntas mais frequentes do Kerberos
326985 Como resolver problemas relacionados com Kerberos no IIS

Propriedades

Artigo: 832109 - Última revisão: 24 de julho de 2013 - Revisão: 14.0
A informação contida neste artigo aplica-se a:
  • Microsoft Systems Management Server 2003 Enterprise Edition
Palavras-chave: 
kbsoftwaredist kbclient kbsecurity kbinfo kbmt KB832109 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 832109

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com