Cómo asegurarse de que está utilizando la autenticación Kerberos cuando crea una conexión remota a una instancia de SQL Server 2005

Seleccione idioma Seleccione idioma
Id. de artículo: 909801 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

En este artículo se describe cómo Asegúrese de que está utilizando la autenticación Kerberos como método de autenticación de Microsoft Windows cuando crea una conexión remota a una instancia de Microsoft SQL Server 2005.

Más información

SQL Server 2005 admite la autenticación Kerberos indirectamente a través de la Windows seguridad soporte proveedor (SSPI) cuando se utiliza la autenticación integrada de Windows en lugar de autenticación de SQL. Sin embargo, SQL Server sólo utilizará la autenticación Kerberos en determinadas circunstancias, cuando SQL Server puede utilizan SSPI para negociar el protocolo de autenticación utilizar. Si SQL Server no puede utilizar Kerberos autenticación, Windows utilizará NTLM autenticación. Por motivos de seguridad, recomendamos que utilice la autenticación Kerberos en lugar de la autenticación NTLM. Los administradores y usuarios deben saber cómo para asegurarse de que están utilizando la autenticación Kerberos para conexiones remotas.

Para utilizar la autenticación Kerberos, debe asegurarse de que todas las condiciones siguientes son verdaderas:
  • El servidor y los equipos cliente deben ser miembros del mismo dominio de Windows o miembros de dominios de confianza.
  • Nombre principal de servicio (SPN) del servidor debe registrarse en el servicio de directorio de Active Directory.
  • La instancia de SQL Server 2005 debe habilitar el protocolo TCP/IP protocolo.
  • El cliente debe conectarse a la instancia de SQL Server 2005 mediante el protocolo TCP/IP. Por ejemplo, puede colocar el protocolo TCP/IP en la parte superior del orden de protocolos del cliente. O puede agregar el prefijo "tcp:" en la cadena de conexión para especificar que la conexión utilizará el protocolo TCP/IP.

Cómo registrar un SPN en un dominio

Cuando registre un SPN para un servicio de SQL Server, básicamente, crear una asignación entre un SPN y Windows cuenta que inició el servicio de instancia de servidor.

Debe registrar el SPN debido a que el cliente deberá utilizar un SPN registrado para conectarse a la instancia de servidor. El SPN se compone mediante nombre de equipo ?s servidor y el puerto TCP/IP. Si no registra el SPN, la SSPI no puede determinar la cuenta asociada con el SPN. Por lo tanto, no se utilizará la autenticación Kerberos.

Cuando SQL Server se ejecuta bajo la cuenta sistema local o bajo una cuenta de administrador de dominio, la instancia registrará automáticamente el SPN en el formato siguiente cuando se inicia la instancia:
MSSQLSvc / FQDN: tcpport
Nota FQDN es el nombre de dominio completo del servidor. tcpport es el número de puerto TCP/IP.

Dado que el número de puerto TCP se incluye en el SPN, SQL Server debe habilitar el protocolo TCP/IP para un usuario conectarse mediante la autenticación Kerberos. Aplican las mismas reglas para configuraciones de clústeres. Además, si la instancia registrada automáticamente un SPN cuando inicia la instancia, el SPN se sin registrar automáticamente cuando se detiene la instancia.

Sólo una cuenta de administrador de dominio o la cuenta sistema local tiene los permisos necesarios registrar un SPN. Por lo tanto, si se inicia el servicio de SQL Server bajo una cuenta que no es administrador, SQL Server no puede registrar el SPN para la instancia. Este comportamiento no impedirá que la instancia inicial. Sin embargo, se registrará el siguiente mensaje en el registro de aplicación de registro de sucesos de Windows:

Tipo de suceso: información
Origen del suceso: MSSQL $ InstanceName
Categoría del suceso: (2)
ID. de suceso: 26037
Fecha: Date
Tiempo: Time
Usuario: N/d
Equipo: ComputerName
Descripción:
La biblioteca SQL Network Interface no se pudo registrar el nombre principal de servicio (SPN) para el servicio de SQL Server. Error: 0x54b. Un error al registrar un SPN puede producir la autenticación integrada se retrocede a NTLM en lugar de Kerberos. Se trata de un mensaje informativo. Acción más sólo es necesario si se requiere autenticación por directivas de autenticación de Kerberos.
Para obtener más información, consulte Ayuda y soporte técnico en http://support.microsoft.com.

Si se registra este mensaje, debe registrar manualmente el SPN de la instancia de una cuenta de administrador de dominio para utilizar la autenticación Kerberos. Para registrar el SPN, puede utilizar la herramienta SetSPN.exe que se incluye con el Kit de recursos de Windows 2000 Server. Esta herramienta también se incluye con las herramientas de soporte técnico de Microsoft Windows Server 2003. Las herramientas de soporte de Windows Server 2003 se incluyen en Microsoft Windows Server 2003 Service Pack 1 (SP1).

Para obtener más información acerca de cómo obtener las herramientas de soporte técnico del Service Pack 1 de Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
892777Herramientas de soporte técnico del Service Pack 1 de Windows Server 2003
Puede utilizar un comando que es similar al siguiente para registrar un SPN para una instancia:
SetSPN ?A MSSQLSvc/<computername><domainname>. <nombredominio>: 1433 <accountname>
Nota Si ya existe un SPN, debe eliminar el SPN antes de que puede volver a registrar. Quizás tenga que hacerlo si cambió la asignación de cuenta. Para eliminar un SPN existente, puede utilizar la herramienta SetSPN.exe junto con el modificador - D .

Cómo asegurarse de que está utilizando la autenticación Kerberos

Una vez conectado a una instancia de SQL Server 2005, ejecute la siguiente instrucción de Transact-SQL en SQL Server Management Studio:
select auth_scheme from sys.dm_exec_connections where session_id=@@spid
si SQL Server utiliza la autenticación Kerberos, una cadena de caracteres que aparece como "KERBEROS" aparece en la columna auth_scheme en la ventana de resultados.

Referencias

Para obtener más información, vea los temas siguientes en Los libros en pantalla de Microsoft SQL Server 2005 :
  • Registro de nombre principal de servicio
  • Cómo los clústeres de servidores virtuales de servidor para habilitar la autenticación Kerberos incluido SQL Server

Propiedades

Id. de artículo: 909801 - Última revisión: lunes, 02 de octubre de 2006 - Versión: 2.3
La información de este artículo se refiere a:
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Workgroup Edition
  • Microsoft SQL Server 2005 Express Edition
Palabras clave: 
kbmt kbsql2005connect kbinfo KB909801 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 909801

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com