Verbindung zu einer Instanz von SQL Server herstellen, eine anonyme Anmeldung mit möglicherweise nicht

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 839569 - Produkte anzeigen, auf die sich dieser Artikel bezieht
wichtig Dieser Artikel enthält Informationen, die Sie zu Sicherheitseinstellungen herab oder zum Deaktivieren von Sicherheitsfunktionen auf einem Computer anzeigt. Sie können diese Änderungen einem bestimmten Problem zu umgehen vornehmen. Bevor Sie diese Änderungen vornehmen, empfiehlt Microsoft, zunächst die Risiken, die abzuschätzen mit dieser Problemumgehung in Ihrer speziellen Umgebung verbunden sind. Wenn Sie diese Problemumgehung implementieren, sollten Maßnahmen Sie entsprechende treffen, um Ihr System zu schützen.
Alles erweitern | Alles schließen

Zusammenfassung

Wenn Sie den Benutzernamen "NT-AUTORITÄT\ANONYMOUS-Anmeldung Ihre Instanz von Microsoft SQL Server 2000 oder Microsoft SQL Server 2005 hinzufügen die Instanz von SQL Server akzeptiert anonyme Anmeldungen über integrierte (Microsoft Windows-Sicherheit und dann Sie versuchen, auf die Instanz von SQL Server als anonymer Benutzer eine Verbindung herzustellen, der Verbindungsversuch ist möglicherweise nicht erfolgreich und möglicherweise sinngemäß die folgende Fehlermeldung:
Fehler bei der Anmeldung für den Benutzer '(Null)'. Ursache: Keiner vertrauten SQL Server-Verbindung zugeordnet.
Darüber hinaus wird das folgende Ereignis im System-Ereignisprotokoll protokolliert:
Ereignistyp: Fehler
Ereignisquelle: LsaSrv
Ereigniskategorie: Keine
Ereignis-ID: 6033
Datum: <date>
<time>Zeit: <zeit>
Benutzer: NV
Computer: < Computername >
Beschreibung:

Eine anonyme Sitzung verbunden von < Computer Name > hat versucht, einen Handle LSA-Richtlinie auf diesem Computer zu öffnen. Die abgelehnt wurde mit STATUS_ACCESS_DENIED leaking Sicherheit vertrauliche Informationen an den anonyme Aufrufer zu verhindern.

Die Anwendung, die versucht, diese muss korrigiert werden. Wenden Sie sich an den Anwendungshersteller. Als vorübergehende Lösung kann durch Festlegen der
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock
diese Sicherheitsmaßnahme deaktiviert werden DWORD-Wert auf 1.
Dieses Problem tritt auf, wenn alle folgenden Bedingungen erfüllt sind:
  • Die Instanz von SQL Server ist auf einem Computer installiert, auf denen Microsoft Windows Server 2003 ausgeführt wird.
  • Dem die Instanz von SQL Server-Computer ist ein Mitgliedsserver in einer Domäne.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock
    Registrierungswert fehlt oder ist nicht auf 1 festgelegt ist.
  • Die Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Sicherheit auf die Instanz von SQL Server-Computer nicht aktiviert ist.

Ursache

Wenn Sie versuchen, eine Verbindung zu der Instanz von SQL Server als anonymer Benutzer herstellen, versucht die anonyme Verbindung beim Öffnen der LSA-Richtlinie Handles auf dem Computer, auf dem die Instanz von SQL Server ausgeführt wird. Standardmäßig verweigert eine Windows Server 2003-Mitgliedsserver Versuch anonyme Verbindung, die versucht, einen Handle LSA-Richtlinie zu öffnen, wenn der
TurnOffAnonymousBlock
-Registrierungswert nicht auf 1 festgelegt ist. Daher ist die anonyme Verbindung nicht erfolgreich. Darüber hinaus nach SQL Server die anonyme Verbindungsanforderung, SQL Server ruft die LookupAccountSid Windows API-Funktion den Kontonamen abrufen. Da die Funktion im Kontext des anonymen Verbindung aufgerufen wird, der Funktionsaufruf auch schlägt fehl, wenn die Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Sicherheit nicht aktiviert ist.

Abhilfe

Warnung Diese Problemumgehung kann Ihren Computer oder Ihr Netzwerk möglicherweise anfälliger, Angriffe durch böswillige Benutzer oder gefährlicher Software wie Viren vornehmen. Zwar wir empfehlen diese Problemumgehung nicht jedoch diese Informationen, damit Sie diese Problemumgehung eigenem Ermessen implementieren können. Verwenden Sie diese Problemumgehung auf eigene Gefahr.

Gehen Sie um dieses Problem zu umgehen, auf dem Computer mit Windows Server 2003 für anonyme Verbindungen, um SQL Server 2000 oder SQL Server 2005 folgendermaßen vor:
  1. Aktivieren Sie die Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Sicherheitsoption in der lokalen Sicherheitsrichtlinie. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start , und klicken Sie auf Systemsteuerung .
    2. Doppelklicken Sie auf Verwaltung , und doppelklicken Sie dann auf Lokale Sicherheitsrichtlinie .
    3. Im linken Fensterbereich erweitern Sie Lokale Richtlinien , und klicken Sie dann auf Sicherheitsoptionen .
    4. Im rechten Bereich unter der Richtlinie Spalte suchen und doppelklicken Sie auf Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen .
    5. In der Netzwerkzugriff: ermöglichen anonyme SID/Name Übersetzung im Dialogfeld klicken Sie auf die Option aktiviert , und klicken Sie dann auf OK .
    6. Schließen Sie die Lokalen Sicherheitseinstellungen Fenster.
    7. Schließen Sie die Verwaltung Fenster.
  2. Setzen Sie den
    TurnOffAnonymousBlock
    DWORD-Registrierungswert auf 1. Gehen Sie hierzu folgendermaßen vor.

    wichtig In diesem Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie der Registrierung, bevor Sie ihn ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    322756Zum Sichern und Wiederherstellen der Registrierung in Windows
    1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie regedit ein und klicken Sie dann auf OK .
    2. Im Registrierungs-Editor, und klicken Sie dann auf
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
      Registry Key.
    3. Suchen Sie im rechten und doppelklicken Sie auf
      TurnOffAnonymousBlock
      DWORD-Registrierungswert.

      Hinweis: Wenn der
      TurnOffAnonymousBlock
      DWORD-Registrierungswert nicht vorhanden ist, müssen Sie den Registrierungswert erstellen.
    4. Geben Sie im Dialogfeld DWORD-Wert bearbeiten 1 im Feld Datenwerte , und klicken Sie dann auf OK .
    5. Schließen Sie Registrierungs-Editor und der Computer neu gestartet. Ein Neustart ist erforderlich die Registrierungsänderungen wirksam werden.
Hinweis: Standardmäßig die Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Sicherheit aktiviert ist auf den Computern, die als Domänencontroller fungieren. Allerdings ist die Sicherheitsoption auf Arbeitsstationen und Mitgliedsserver deaktiviert. Die Domänencontroller erfordern keine
TurnOffAnonymousBlock
versucht, Registrierungsschlüssel, um anonymen Verbindungen zu steuern. Daher Ihre Instanz von SQL Server auf einem Domänencontroller installiert ist, auf denen Windows Server 2003 ausgeführt wird, der anonyme Verbindung versucht, die Instanz von SQL Server fehl.

Weitere Informationen

Auf einem Computer mit Windows Server 2003, werden Sicherheitsüberprüfungen, die für anonymen Verbindungen durchgeführt werden, die für den Zugriff auf den Computer versuchen strengere. Wenn Sie erstellen eine Microsoft ASP.NET-Seite, die Windows-Authentifizierung und Identitätswechsel auf einem Webserver verwendet, auf dem Microsoft Internetinformationsdienste (IIS) 6.0 ausgeführt wird, aber Sie können die Benutzerkonten nicht delegieren, werden alle Verbindungsversuche mit einer Remoteinstanz von SQL Server von der ASP.NET-Seite im Sicherheitskontext des Benutzernamens NT-AUTORITÄT\ANONYMOUS-Anmeldung. Sie können Ihre Instanz von SQL Server um anonymen Verbindungen über die integrierte Windows-Sicherheit durch Hinzufügen der NT-AUTORITÄT\ANONYMOUS-Anmeldung Benutzername als einen SQL Server-Benutzer und durch Erteilen des erforderlichen Berechtigungen für dem Benutzer akzeptieren konfigurieren. Beim Hinzufügen der NT-AUTORITÄT\ANONYMOUS-Anmeldung Login um Ihre Instanz von SQL Server können anonyme Verbindungen SQL Server-Daten ohne alle Anmeldeinformationen zugreifen.

wichtig Wir empfehlen nicht anonymen Zugriff auf SQL Server. Alle Berechtigungen, die die NT AUTHORITY\ANONYMOUS LOGON-Anmeldung erteilt werden, können von jedem Benutzer verwendet werden, auf dem Computer zugreifen können, auf dem SQL Server ausgeführt wird. Wenn Sie anonymen Zugriff auf die Instanz von SQL Server zulassen müssen, es wird empfohlen, dass nur Lese Berechtigungen auf NT-AUTORITÄT\ANONYMOUS-Anmeldung erteilt wurde, melden Sie sich die SQL Server Daten anzeigen, die öffentlich sichtbar sein sollen. Darüber hinaus wird empfohlen, dass nur EXECUTE Berechtigungen der SQL-gewährt werden Server gespeicherte Prozeduren, die eingeschränkte Operationen ausführen.

Anstatt die anonymen Verbindungen zu Ihrer Instanz von SQL Server können Sie erforderlichen Zugriff auf ein bestimmtes SQL Server-Konto gewähren und übergeben Sie die Anmeldeinformationen für das SQL Server-Konto in der Verbindungszeichenfolge in der ASP.NET Seite. Mithilfe von SQL Server die Authentifizierung der anonyme Verbindung versucht, die Instanz von SQL Server vermieden und ist sicherer.

Wenn die Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Sicherheitsoption auf dem Computer mit Windows Server 2003 aktiviert ist, können alle Benutzer, die eine Netzwerkverbindung zum Computer herstellen können Kontonamen für alle bekannten Kennungen nachschlagen (SID), z. B. das Administratorkonto. Ein Angreifer kann diese Informationen Verbindung mit dem Server mithilfe einer Methode wie z. B. das Erraten eines Kennworts oder um die Konten mit fehlgeschlagene Anmeldeversuche zu sperren verwenden.

Wenn Sie den Wert des Registrierungswertes
TurnOffAnonymousBlock
auf 1 festlegen, können anonymen Verbindungen ein Handle für die Richtlinie für die lokale Sicherheitsautorität öffnen. Finden Sie weitere Informationen zu der LSA-Richtlinie auf der folgenden MSDN-Websites:
http://msdn2.microsoft.com/en-us/library/ms721831.aspx
http://msdn2.microsoft.com/en-us/library/ms722489.aspx
http://msdn2.microsoft.com/en-us/library/ms721833.aspx
http://msdn2.microsoft.com/en-us/library/ms721874.aspx

Informationsquellen

Weitere Informationen zur Problembehandlung bei die Konnektivitätsproblemen in SQL Server 2000 finden Sie die folgende KB-Artikelnummer:
827422Behandlung von Konnektivitätsproblemen in SQL Server 2000
Weitere Informationen finden Sie die folgende KB-Artikelnummer:
247931Authentifizierungsmethoden für Verbindungen zu SQL Server in Active Server Pages

Eigenschaften

Artikel-ID: 839569 - Geändert am: Donnerstag, 12. Februar 2009 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2005 Workgroup Edition
  • Microsoft SQL Server 2000 Standard Edition
Keywords: 
kbmt kbprb kbhowto kbclientserver kberrmsg kbuser kbusage kbconfig kbregistry kbsecurity KB839569 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 839569
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Kontaktieren Sie uns, um weitere Hilfe zu erhalten

Kontaktieren Sie uns, um weitere Hilfe zu erhalten
Wenden Sie sich an den Answer Desk, um professionelle Hilfe zu erhalten.