Nebude pravděpodobně moci připojit k instanci serveru SQL Server pomocí anonymní přihlášení

Překlady článku Překlady článku
ID článku: 839569 - Produkty, které se vztahují k tomuto článku.
Důležité Tento článek obsahuje informace o tom, jak pomoci nižší nastavení zabezpečení nebo vypnutí funkcí zabezpečení v počítači. Jste můžete provést tyto změny řešení určitého problému. Před provedením těchto změny, doporučujeme vyhodnotit rizika, které jsou přidruženy Implementace tohoto zástupného řešení v konkrétním prostředí. Pokud implementujete Toto zástupné řešení, převzít všechny vhodné kroky k ochraně vašeho systém.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Souhrn

Po přidání NT Authority\Anonymous se přihlašování přihlášení k vaší výskyt Microsoft SQL Server 2000 nebo 2005 Microsoft SQL Server tak, aby instance serveru SQL Server přijímá anonymní přihlášení prostřednictvím systému Microsoft Windows Integrované zabezpečení a pokusíte se připojit k instanci serveru SQL Server jako anonymní uživatel nemusí být úspěšný pokus o připojení a které mohou Zobrazí se následující chybová zpráva:
Přihlášení uživatele se nezdařilo "(prázdný)". Důvod: Není přidružen důvěryhodné připojení k serveru SQL Server.
V případě systému je dále zaznamenána následující událost protokol:
Typ události: Chyba
Zdroj události: LsaSrv
Kategorie události: žádný
ID události: 6033
Datum:<date> <b00></b00></date>
Čas:<time></time>
Uživatel: není k dispozici
Počítač:<computer name=""> <b00></b00></computer>
Popis:

Se anonymní relace připojení z <computer name=""> se pokusil otevřít popisovač zásad LSA v tomto počítači. Na byl odmítnut s STATUS_ACCESS_DENIED, aby se zabránilo prosakování zabezpečení Anonymní volající citlivé informace.<b00></b00></computer>

Aplikace, provedené tento pokus musí být opraveno. Obraťte se na dodavatele aplikace. Jako dočasné řešení, toto bezpečnostní opatření lze zakázat nastavením
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock
Hodnota DWORD 1.
K tomuto problému dochází při všech následujících jsou-li splněny podmínky:
  • Instance serveru SQL Server, je nainstalována v počítači, se systémem Microsoft Windows Server 2003.
  • Je v počítači, ve kterém je spuštěna instance serveru SQL Server členský server v doméně.
  • Na
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock
    Hodnota registru chybí nebo je nastavit na 1.
  • Na Přístup do sítě: Povolit anonymní překlad SID/názvu možnost zabezpečení v počítači se spuštěnou instanci SQL Server není povolena.

Příčina

Při pokusu o připojení k instanci serveru SQL Server, jako anonymní uživatel anonymní připojení pokusí otevřít popisovač zásad LSA na počítač, který je spuštěna instance serveru SQL Server. Ve výchozím nastavení systému Windows Server 2003 členský server zakazuje pokus anonymní připojení, který se pokouší otevřít popisovač zásad LSA, pokud
TurnOffAnonymousBlock
Hodnota registru je není nastavena na hodnotu 1. Proto není úspěšné anonymní připojení. Navíc po SQL Server obdrží požadavek na anonymní připojení, SQL Volání server LookupAccountSid Funkce rozhraní Windows API získat název účtu. Protože funkce je volána v rámci anonymního připojení, funkce volání také selže, pokud Přístup do sítě: Povolit anonymní překlad SID/názvu možnost zabezpečení není povoleno.

Jak potíže obejít

Upozornění Toto řešení může lépe počítače nebo sítě útoku uživatelů se zlými úmysly nebo škodlivému softwaru, například viry. Doporučujeme toto řešení nedoporučujeme, ale poskytujeme tyto informace takže můžete řešení implementovat vlastního uvážení. Pomocí této řešení na vlastní nebezpečí.

Chcete-li tento problém vyřešit problém, postupujte podle kroků v počítači se systémem Windows Server 2003 Povolit anonymní připojení k serveru SQL Server 2000 nebo SQL Server 2005:
  1. Povolit Přístup do sítě: Povolit anonymní překlad SID/názvu možnost zabezpečení v místních zásadách zabezpečení. Chcete-li to provést, postupujte podle Tyto kroky:
    1. Klepněte na tlačítko Spustita klepněte na tlačítko Ovládací panely.
    2. Poklepejte na položku Nástroje pro správu, a Poklepejte na Místní zásady zabezpečení.
    3. V levém podokně rozbalte položku Místní Zásadya klepněte na tlačítko Možnosti zabezpečení.
    4. V pravém podokně v části ZásadyVyhledejte a poklepejte na sloupec, Přístup do sítě: Povolit anonymní přístup Překlad SID/názvu.
    5. V Přístup do sítě: Povolit anonymní identifikátor SID/názvu překlad Dialogové okno, klepněte Povoleno možnost, a Klepněte na tlačítko OK.
    6. Zavřít Místní nastavení zabezpečeníokno.
    7. Zavřít Nástroje pro správuokno.
  2. Nastavit
    TurnOffAnonymousBlock
    DWORD registru hodnota 1. Chcete-li to provést, postupujte takto.

    Důležité Tento oddíl, metoda nebo úkol obsahuje kroky, které informace o úpravě registru. Však mohou nastat závažné problémy při nesprávných úpravách registru. Proto se ujistěte, opatrně postupujte takto. Pro zvýšení ochrany před úpravami je nutné zálohujte registr. Můžete pak obnovení registru v případě, že dojde k potížím. Další informace o zálohování a obnovení registru získáte článku znalostní báze Microsoft Knowledge Base:
    322756 Postup při zálohování a obnovení registru v systému Windows
    1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ regedita klepněte na tlačítko OK.
    2. V Editoru registru vyhledejte a klepněte
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
      klíč registru.
    3. V pravém podokně vyhledejte a poklepejte
      TurnOffAnonymousBlock
      Hodnotu registru DWORD.

      Poznámka: Pokud
      TurnOffAnonymousBlock
      DWORD registru hodnota neexistuje, je třeba vytvořit hodnotu registru.
    4. V Upravit hodnotu DWORD Dialogové okno Typ 1 v Hodnota dat pole a pak Klepněte na tlačítko OK.
    5. Ukončete Editor registru a restartujte počítač. Je nutné změny registru se projeví až po restartování.
Poznámka: Standardně Přístup do sítě: Povolit anonymní překlad SID/názvu je povolena možnost zabezpečení v počítačích, které se chovají jako domény řadiče. Na pracovních stanicích je však zakázána možnost zabezpečení a Členské servery. Nevyžadují řadiče domény
TurnOffAnonymousBlock
pokusy o klíči registru řídit anonymní připojení. Proto pokud vaše instance serveru SQL Server, je nainstalována na řadiči domény se systémem Windows Server 2003 jsou anonymní připojení pokusí instance SQL Nedošlo k selhání serveru.

Další informace

V počítači se systémem Windows Server 2003, zabezpečení kontroly prováděné na anonymní připojení, které se pokouší získat přístup počítače jsou přísnější. Pokud vytvoříte Microsoft ASP.ČISTÉ stránky, která používá Ověřování systému Windows a zosobnění na webovém serveru se systémem (IIS) 6.0, ale nelze delegovat Jakékoli pokusy o připojení k instanci serveru SQL Server ze vzdálené uživatelské účty ASP.ČISTÉ stránky jsou v kontextu zabezpečení NT Authority\Anonymous se PŘIHLÁŠENÍ přihlásit. Můžete nakonfigurovat váš instance serveru SQL Server přijímat anonymní připojení prostřednictvím integrované zabezpečení Windows NT přidáním Authority\Anonymous se přihlášení přihlásit se jako uživatel serveru SQL Server a udělením požadovaná oprávnění pro uživatele. Po přidání NT Authority\Anonymous se přihlášení přihlášení anonymní připojení k instanci serveru SQL Server, přístup SQL Data serveru bez zadání pověření pro přihlášení.

Důležité Nedoporučujeme anonymního přístupu k serveru SQL Server. Všechny oprávnění udělená NT Authority\Anonymous se přihlašování přihlášení lze Každý uživatel, který lze připojit k počítači se serverem SQL Server používá. Pokud je třeba povolit anonymní přístup k instanci serveru SQL Server, doporučujeme aby LOGON NT Authority\Anonymous se udělena oprávnění jen pro čtení Přihlaste se k zobrazení dat serveru SQL Server, který chcete veřejně zobrazitelné. Doporučujeme, aby SQL jsou přidělena pouze oprávnění ke spouštění Server uložené procedury, které provádějí operace omezené.

Místo Povolení anonymního připojení k instanci serveru SQL Server, můžete požadovaný přístup k určitému účtu serveru SQL Server a předat přihlášení pověření pro účet serveru SQL Server v připojovacím řetězci v ASP.NET stránka. Pomocí serveru SQL Server ověřování vyhýbá pokusy o anonymní připojení k instanci serveru SQL Server a je bezpečnější.

Pokud Přístup do sítě: Povolit anonymní překlad SID/názvu je povolena možnost zabezpečení v počítači se systémem Windows Server 2003, všichni uživatelé, kteří mohou vytvořit připojení sítě k počítač můžete vyhledat názvy účtů pro všechny známé zabezpečení identifikace (SID), jako je například účet správce. Útočník se zlými úmysly může použít informace o připojení k serveru pomocí metody, jako je například heslo hádání nebo lock out účty s pokusy o přihlášení se nezdařilo.

Pokud Nastavte hodnotu
TurnOffAnonymousBlock
Hodnota registru 1, anonymní připojení můžete otevřít popisovač zásad pro místní Bezpečnostní orgán. Další informace o zásadách LSA naleznete následující stránky na webu MSDN:
http://msdn2.microsoft.com/en-us/library/ms721831.aspx
http://msdn2.microsoft.com/en-us/library/ms722489.aspx
http://msdn2.microsoft.com/en-us/library/ms721833.aspx
http://msdn2.microsoft.com/en-us/library/ms721874.aspx

Odkazy

Další informace o Poradce při potížích s problémy s připojením k serveru SQL Server 2000, klepněte na následující článek znalostní báze Microsoft Knowledge Base:
827422Jak řešit potíže s připojením k serveru SQL Server 2000
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
247931Metody ověřování pro připojení k serveru SQL Server ze stránek ASP

Vlastnosti

ID článku: 839569 - Poslední aktualizace: 22. května 2011 - Revize: 5.0
Informace v tomto článku jsou určeny pro produkt:
Klíčová slova: 
kbprb kbhowto kbclientserver kberrmsg kbuser kbusage kbconfig kbregistry kbsecurity kbmt KB839569 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:839569

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com