Erro 401 ou "Falha de logon para usuário '(nulo)'. Motivo: não associado a uma conexão SQL Server confiável "quando os clientes tentam se conectar a um ponto de gerenciamento do SMS 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 832109 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Depois de instalar e configurar um novo ponto de gerenciamento para o Microsoft Systems Management Server (SMS) 2003, você pode enfrentar um ou mais dos seguintes problemas:
  • Computadores são detectados e aparecerão no console SMS Administrator como os clientes avançados, mas o software de cliente SMS não está instalado nos computadores cliente.
  • Computadores são detectados e aparecerão no console SMS Administrator como os clientes avançados, mas o software de cliente SMS padrão está instalado no computador que é descoberto.
  • Os clientes existentes não relatam um status de anúncios.
  • A seguinte mensagem de erro é registrada no CAS.log no computador cliente avançado do SMS e no log do SQLERROR no servidor SQL:
    Logon falhou para usuário '(nulo)'. Motivo: Não associado a uma conexão SQL Server confiável
  • O log do IIS no ponto de gerenciamento pode conter o erro 401.
As entradas a seguir podem aparecer no ponto de gerenciamento no arquivo MP_GetAuth.log. Dependendo se o cliente do SMS também está instalado, o arquivo de log está localizado no \% windir %pasta \system32\CCM\Logs\ ou na pasta \SMS_CCM\Logs\. (% windir % é a pasta em que o sistema operacional está instalado.)
<![LOG[CMPDBConnection::Init(): IDBInitialize::Initialize() failed with 0x80004005]LOG]!>
<![LOG[Raising event: [SMS_CodePage(437), SMS_LocaleID(1033)] instance of
MpEvent_ConnectDatabaseFailed {
      ClientID = "GUID:F4AB9DD6-362A-44B4-BAFA-6797AD71C79F";
      DatabaseName = "SMSDBname";
      DateTime = "20030919053031.203000+000";
      ErrorCode = "0x80004005";
      MachineName = "MPcomputername";
      ProcessID = 5124;
      ServerName = "SMSservername";
      SiteCode = "sitecode";
      ThreadID = 3512;
      Win32ErrorCode = 0;
};
]LOG]><time="00:30:31.219+000" date="09-19-2003" component="MP_GetAuth_ISAPI" context="Auth" 
type="1" thread="3512" file="event.cpp:522">
CMPDBConnection::Init(): IDBInitialize::Initialize() failed with 0x80040e4d $$<MP_GetAuth_ISAPI><Wed Feb 4 17:19:29.240 2004 Eastern Standard Time><thread=2664 (0xA68)>

Causa

O ponto de gerenciamento pode ser impedido de se conectar ao servidor que está executando o Microsoft SQL Server. Esses problemas podem ocorrer por qualquer uma das seguintes razões:
  • O ponto de gerenciamento não tem as permissões corretas no servidor SQL.
  • Existem problemas com o registro do SQL Service Nome Principal (SPN).
  • Existem problemas com o Kerberos ou o protocolo de sistema de nomes de domínios (DNS).

Como Contornar

Para contornar esse problema, alternar de uma conexão TCP de uma conexão de Pipes nomeados entre o ponto de gerenciamento e o servidor SQL. Isso também pode ser usado para testar se o problema é com a autenticação Kerberos, que usa TCP.

Autenticação de NTLM de usos de Pipes nomeada. Se a mudança do TCP para Pipes nomeados não resolver o problema, execute um rastreamento do Monitor de rede para investigar problemas de conectividade de rede possível. Se a ativação de Pipes nomeados no ponto de gerenciamento para resolver o problema, ele indica que a autenticação Kerberos está falhando e as etapas de solução de problemas neste artigo será útil no diagnóstico das causas.

Para habilitar os Pipes nomeados, o seguinte no gerenciamento, aponte server. Clique em Iniciar, clique em Executar, tipo cliconfge, em seguida, clique em OK. Isso inicia o utilitário de rede do cliente. Adicione o nome de NetBIOS do SQL server a Alias guia com Pipes nomeados selecionado. Esta é a configuração padrão.

No servidor do SQL, execute o utilitário de rede do servidor e certifique-se de que pipes nomeados é na parte superior da pilha de protocolos. O ponto de gerenciamento consultas SQL cada 10 minutos. Será exibida uma entrada de log que indica o número de pontos de gerenciamento do site. Isso indica uma conexão bem-sucedida.

Mais Informações

Para solucionar esses sintomas, siga as etapas na ordem em que são apresentados.

Verificar permissões

Para iniciar esses sintomas de solução de problemas, verifique se o ponto de gerenciamento tem as permissões corretas para se conectar ao banco de dados SQL. Para fazer isso, execute estas etapas:
  1. No servidor de ponto de gerenciamento, clique em Iniciar, clique em Executar, tipo cmde, em seguida, clique em OK. Se seu site do SMS estiver sendo executado em modo de segurança padrão, vá para a etapa 4. Se seu site do SMS estiver sendo executado no modo de segurança avançada, vá para a etapa 2.
  2. Se seu site do SMS estiver executando a segurança avançada, inicie uma nova janela de Prompt de comando que está executando sob a conta sistema local. Para fazer isso, digite o seguinte em um prompt de comando e pressione ENTER:
    ATFutureTime /Interactive cmd
    No momento em que você especifica, uma nova janela de Prompt de comando abre que está executando em Svchost.exe.

    Observação FutureTime pode ser qualquer momento que seja posterior à hora atual, no formato de 24 horas.
  3. Em um prompt de comando, digite o seguinte e pressione ENTER:
    osql -S SQLServer -d SMSdbname -E
    Observação SQLServer é o nome do servidor que está executando o SQL Server, e SMSdbname é o nome do banco de dados SQL para o seu site do SMS.

    Se este comando for bem sucedido, o seu ponto de gerenciamento tem as permissões corretas para o banco de dados SQL. O comando for bem sucedido se um 1 > prompt é retornado. Tipo sair, e então pressione ENTER para retornar ao prompt de comando. Se você receber a seguinte mensagem de erro, vá para a etapa 4:
    Logon falhou para usuário '(nulo)'. Razão: Não está associada com um SQL confiável Conexão com o servidor.
  4. Se você receber a mensagem de erro "Falha de logon" descrito na etapa 3, repita o comando, mas use o nome de domínio totalmente qualificado (FQDN). Por exemplo, digite:
    osql -S SQLServer.europe.corp.microsoft.com -d SMSdbname -E
    Se o comando tiver êxito, exiba as configurações de DNS para o domínio onde se encontra o computador do ponto de gerenciamento.
  5. Se o comando falhar ainda verificar para ver se o MSSQLServer Service está usando uma conta de usuário para efetuar logon com, altere o serviço para usar a conta de sistema Local na guia logon nas propriedades do serviço e execute os comandos novamente. Se o serviço precisa ser executado com uma conta de usuário, certifique-se de que a conta de usuário é adicionada ao grupo Administradores de domínio. Você também terá que siga as etapas no seguinte artigo da Base de dados de Conhecimento da Microsoft:
    829868 Site do Systems Management Server 2003 Advanced Security com SQL remoto não se conectar ao SQL Server

Solução de problemas adicional

  1. Os atributos de nome Principal de serviço (SPN) apropriados podem não ser gerados para a conta que iniciou os serviços do SQL. Para resolver esse problema, você deve criar manualmente as entradas de SPN NetBIOS e o nome de domínio totalmente qualificado (FQDN). Para fazer isso, você pode usar o utilitário SetSPN do Windows 2000 Server Resource Kit. Para baixar o utilitário SetSPN, visite o seguinte site da Microsoft:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
    Você deve executar o utilitário SetSPN em um computador que reside no domínio do SQL Server. Você deve usar as credenciais de administrador de domínio. Determine se os serviços do SQL são executados como uma conta de domínio ou a conta de computador local. Para usar o utilitário SetSPN para criar manualmente os SPNs apropriados, siga estas etapas:

    Quando o serviço do SQL foi iniciado com uma conta de usuário
    • Para criar o SPN FQDN em uma janela de Prompt de comando, digite o seguinte comando:
      setspn - A MSSQLSvc /SqlHostname.mydomain.com: 1433 SqlServiceAccount
    • Para criar o SPN NetBIOS na janela de comando, digite o seguinte comando:
      setspn - A MSSQLSvc /SqlHostname: 1433 SqlServiceAccount
    Quando o serviço do SQL é iniciado na conta do sistema Local

    Se o SQL Server é executado sob a conta sistema local, você não precisa configurar manualmente um SPN para SQL Server. O SPN é criado automaticamente quando o SQL Server é iniciado e é removido quando o serviço do SQL está parado. Se o SQL Server é executado em uma conta de usuário de domínio, você deve configurar manualmente um SPN.

    Remoção de SPN

    Um SPN duplicado para o computador que está executando o SQL Server pode causar problemas de conectividade. O procedimento a seguir irá remover qualquer SPNs existentes do SQL Server e adicionar um SPN novo:
    1. Pare o serviço MSSQL.
    2. Executar o SETSPN -L nome do computador comando para listar todos os SPNs. Normalmente a saída semelhante à seguinte:
      MSSQLSvc/MySQLServer dasaccount1 
      MSSQLSvc/MySQLServer:1433 
      MSSQLSvc/MySQLServer.MyDomain.com dasaccount1 MSSQLSvc/MySQLServer.MyDomain.com:1433 
      
      Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de dados de Conhecimento Microsoft:
      319723Como usar a autenticação Kerberos no SQL Server

      Se o serviço MSSQL é executado sob a conta Sistema Local, o SPN será removido quando o serviço MSSQL é interrompido. Portanto, se um SPN é listado na saída das SETSPN -L comando é um SPN duplicado. Se o serviço MSSQL é executado sob uma conta de usuário de domínio, o SPN ainda será listado quando você executa o SETSPN -L comando. Portanto, você não pode determinar se o SPN é uma duplicata. Em ambos os casos, para certificar-se de que o SPN não é uma duplicata, remover e substituir o SPN, conforme descrito nas etapas 1c a 1i.
    3. Se as entradas que contenham MSSQLSvc estiver listadas, use a SETSPN -D comando para remover essas entradas. Por exemplo, digite o seguinte:
      SETSPN ?D MSSQLSvc/MySQLServer Conta DAS SETSPN -D MSSQLSvc /MySQLServer.MyDomain.comConta DAS>
    4. Executar o SETSPN -L nome do computador comando novamente para certificar-se de que não há listagens para MSSQLSvc aparecem.
    5. Se o serviço MSSQL é executado sob a conta Sistema Local, certifique-se de que a conta de inicialização do SQL Server é a conta de sistema Local. Você pode configurar esta opção na Segurança Guia de Propriedades caixa de diálogo do servidor no SQL Server Enterprise Manager.
    6. Se o serviço MSSQL é executado sob uma conta de usuário de domínio, registrar o SPN usando o SETSPN - A comando conforme mencionado anteriormente.
    7. Reinicie o serviço MSSQL.
    8. Após as atualizações de replicação a servicePrincipalName atributo em todas as contas de domínio, verifique se os SPNs estão registrados corretamente. Para fazer isso, execute o seguinte comando:
      SETSPN -L nome do computador
    9. Se os SPNs registrados corretamente, teste a conexão do SMS usando os métodos na seção "Verificar permissões".
  2. Em cada site principal, certifique-se de que o grupo de segurança SMS_SitetoSQLConnection contém as contas de computador ou contas de serviço do SMS para todos os servidores filho desse relatório no local principal. Normalmente, essas contas são adicionadas ao grupo de segurança de SMS_SitetoSQLConnection quando um site está instalado. Se o programa de instalação não pode adicionar a conta, a seguinte mensagem de status do site é registrada no console SMS Administrator:
    4908 - Site Component Manager não pôde adicionar a conta de máquina"%1"para o grupo de acesso SQL"%2"na máquina do SQL Server"%3".
  3. O cache do tíquete Kerberos talvez tenha que ser redefinida. Use a ferramenta Kerbtray do Windows 2000 Server Resource Kit para limpar o cache do tíquete Kerberos existente. Para baixar a ferramenta Kerbtray, visite o seguinte site da Microsoft:Para obter mais informações sobre como usar a ferramenta Kerbtray, clique no número de artigo que se segue para visualizar o artigo na Base de dados de Conhecimento Microsoft:
    232179Administração Kerberos no Windows 2000
  4. Certifique-se de que o servidor DNS para o domínio está listado primeiro nas propriedades de TCP/IP do servidor de ponto de gerenciamento.
  5. O FQDN para o domínio de destino deve estar listado na parte superior da lista de pesquisa de sufixo no servidor de ponto de gerenciamento. Para alterar a lista de pesquisa de sufixo, siga estas etapas:
    1. Clique em Iniciar, clique em Executar, tipo ncpa. cple, em seguida, clique em OK.
    2. Clique duas vezes na conexão que você deseja alterar e, em seguida, clique em Propriedades.
    3. Na Propriedades de conexão de nome caixa de diálogo, selecione Protocolo Internet (TCP/IP) em Esta conexão utiliza os seguintes itense, em seguida, clique em Propriedades.
    4. Sobre o Geral Clique em Avançadoe, em seguida, clique no DNS guia.
    5. Clique em Acrescentar estes sufixos DNS (em ordem), clique no domínio de destino e, em seguida, move o domínio de destino para o topo da lista clicando na seta de rolagem.
    6. Clique em OK duas vezes e depois clique em Fechar.

    =====

    OBSERVAÇÃO: Esse problema foi observado somente com o Systems Management Server 2003 e não afeta o System Center Configuration Manager 2007.

Referências

Para obter mais informações sobre como executar a segurança avançada do SMS com um servidor SQL remoto, clique no número de artigo que se segue para visualizar o artigo na Base de dados de Conhecimento Microsoft:
829868Site do Systems Management Server 2003 Advanced Security com SQL remoto não se conectar ao SQL Server
Para obter mais informações sobre como recuperar SPNs do Active Directory, clique no número de artigo que se segue para visualizar o artigo na Base de dados de Conhecimento Microsoft:
298718Como recuperar SPNs do diretório
Para obter mais informações sobre o Kerberos, clique nos números abaixo para visualizar os artigos na Base de dados de Conhecimento Microsoft:
266080Respostas para perguntas freqüentes do Kerberos
326985 Como solucionar problemas relacionados ao Kerberos no IIS

Propriedades

ID do artigo: 832109 - Última revisão: quarta-feira, 24 de julho de 2013 - Revisão: 14.0
A informação contida neste artigo aplica-se a:
  • Microsoft Systems Management Server 2003 Enterprise Edition
Palavras-chave: 
kbsoftwaredist kbclient kbsecurity kbinfo kbmt KB832109 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 832109

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com