Come assicurarsi che venga utilizzata l'autenticazione Kerberos quando si crea una connessione remota a un'istanza di SQL Server 2005

Traduzione articoli Traduzione articoli
Identificativo articolo: 909801 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In questo articolo viene descritto come accertarsi che che si utilizzino l'autenticazione Kerberos come metodo di autenticazione di Microsoft Windows quando si crea una connessione remota a un'istanza di Microsoft SQL Server 2005.

Informazioni

SQL Server 2005 supporta l'autenticazione Kerberos indirettamente tramite il Windows SSPI Security Support Provider Interface () quando si utilizza l'autenticazione integrata di Windows anziché l'autenticazione di SQL Server. Tuttavia, SQL Server utilizzare l'autenticazione Kerberos in determinate circostanze quando SQL Server può utilizzare SSPI per negoziare il protocollo di autenticazione da utilizzare. Se SQL Server non è possibile utilizzare Kerberos autenticazione, verrà utilizzato NTLM l'autenticazione. Per motivi di protezione, si consiglia di utilizzare l'autenticazione Kerberos anziché l'autenticazione NTLM. Gli amministratori e gli utenti devono imparare a assicurarsi che questi sono utilizzando l'autenticazione Kerberos per le connessioni remote.

Per utilizzare l'autenticazione Kerberos, è necessario assicurarsi che tutte le seguenti condizioni sono true:
  • Il server e i computer client devono essere membri dello stesso dominio di Windows o i membri di domini trusted.
  • Nome principale del server servizio (SPN) deve essere registrato nel servizio directory Active Directory.
  • L'istanza di SQL Server 2005 è necessario attivare il TCP/IP protocollo.
  • Il client deve connettersi all'istanza di SQL Server 2005 utilizzando il protocollo TCP/IP. Ad esempio, è possibile inserire il protocollo TCP/IP all'inizio dell'ordine di protocollo del client. Oppure è possibile aggiungere il prefisso "tcp:" nella stringa di connessione per specificare che la connessione verrà utilizzare il protocollo TCP/IP.

Come registrare un nome SPN in un dominio

Quando si registra un SPN per un servizio SQL Server, si crea essenzialmente un mapping tra un SPN e il Windows account che ha avviato il servizio di istanza del server.

È necessario registrare il SPN perché il client per connettersi all'istanza del server necessario utilizzare un nome SPN registrato. il SPN è costituito da utilizzando nome computer ?s il server e la porta TCP/IP. Se non si registra il SPN, questa interfaccia Impossibile determinare l'account di associato con il nome SPN. L'autenticazione Kerberos non verrà utilizzato.

SQL Server è in esecuzione con l'account sistema locale o di un account amministratore di dominio, l'istanza verrà automaticamente registrare il SPN nel seguente formato quando viene avviata l'istanza:
MSSQLSvc / FQDN: tcpport
Nota FQDN è il nome di dominio completo del server. tcpport è il numero di porta di TCP/IP.

Poiché il numero di porta TCP è incluso nel SPN, SQL Server deve abilitare il protocollo TCP/IP un utente di connettersi utilizzando l'autenticazione Kerberos. Valgono le stesse regole per le configurazioni cluster. Inoltre, se l'istanza viene automaticamente registrato un SPN quando l'istanza avviata, il SPN saranno non registrato automaticamente quando si arresta l'istanza.

Solo un account di amministratore di dominio o l'account di sistema locale dispone di autorizzazioni necessari registrare un SPN. Di conseguenza, se il servizio SQL Server viene avviato con un account non amministratore, SQL Server Impossibile registrare il nome SPN per l'istanza. Questo comportamento non impedirà l'istanza di avvio. Tuttavia, verrà registrato il seguente messaggio nel registro applicazione del registro eventi di Windows:

Tipo evento: informazioni
Origine evento: MSSQL $ InstanceName
Categoria evento: (2)
ID evento: 26037
Data: Date
Ora: Time
Utente: N/d
Computer: ComputerName
Descrizione:
La libreria dell'interfaccia rete di SQL: Impossibile registrare il nome principale di servizio (SPN) per il servizio SQL Server. Errore: 0x54b. Mancato registrare un SPN può causare l'autenticazione integrata di fallback a NTLM anziché Kerberos. Si tratta di un messaggio informativo. Ulteriore azione è solo necessario se Kerberos è necessaria l'autenticazione dai criteri di autenticazione.
Per ulteriori informazioni, vedere la Guida in linea e supporto tecnico all'indirizzo http://support.microsoft.com.

Se questo messaggio viene registrato, è necessario registrare manualmente il nome SPN per l'istanza con un account di amministratore di dominio per l'utilizzo dell'autenticazione Kerberos. Per registrare il SPN, è possibile utilizzare lo strumento SetSPN.exe è incluso in Microsoft Windows 2000 Server Resource Kit. Questo strumento è inoltre incluso negli strumenti di supporto di Microsoft Windows Server 2003. Gli strumenti di supporto di Windows Server 2003 sono racchiuse tra Windows Server 2003 Service Pack 1 (SP1).

Per ulteriori informazioni su come ottenere la strumenti di supporto Windows Server 2003 Service Pack 1, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
892777Strumenti di supporto di Windows Server 2003 Service Pack 1
È possibile utilizzare un comando analogo al seguente per registrare un SPN per un'istanza:
<computername><domainname> ?A SetSPN MSSQLSvc/<nomecomputer>. <nomedominio>: 1433 <accountname>
Nota Se esiste già un SPN, è necessario eliminare il SPN prima possibile registrare nuovamente. Potrebbe essere necessario se è stato modificato il mapping dell'account. Eliminare un SPN esistente, è possibile utilizzare lo strumento SetSPN.exe con l'opzione - D .

Come verificare che si sta utilizzando l'autenticazione Kerberos

Dopo avere la connessione a un'istanza di SQL Server 2005, è possibile eseguire la seguente istruzione di Transact-SQL in SQL Server Management Studio:
select auth_scheme from sys.dm_exec_connections where session_id=@@spid
se SQL Server utilizza l'autenticazione Kerberos, una stringa di caratteri è elencata come "KERBEROS" visualizzato nella colonna auth_scheme nella finestra risultati.

Riferimenti

Per ulteriori informazioni, vedere i seguenti argomenti nella Documentazione in linea di Microsoft SQL Server 2005 :
  • Registrazione del nome principale servizio
  • Modalità per abilitare l'autenticazione Kerberos tra cui SQL Server cluster di server virtuali sul server

Proprietà

Identificativo articolo: 909801 - Ultima modifica: lunedì 2 ottobre 2006 - Revisione: 2.3
Le informazioni in questo articolo si applicano a:
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Workgroup Edition
  • Microsoft SQL Server 2005 Express Edition
Chiavi: 
kbmt kbsql2005connect kbinfo KB909801 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 909801
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com