Iniciar Sess�o

Select the product you need help with

Como se certificar de que voc� est� usando a autentica��o Kerberos ao criar uma conex�o remota com uma inst�ncia do SQL Server 2005

ID do artigo: 909801 - Exibir os produtos aos quais esse artigo se aplica.

Exibir Aviso de Isen��o de Tradu��o Autom�tica

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Expandir tudo | Recolher tudo

Este artigo descreve como certificar-se de que voc� est� usando a autentica��o Kerberos como um m�todo de autentica��o do Microsoft Windows quando voc� cria uma conex�o remota com uma inst�ncia do Microsoft SQL Server 2005.

Voltar para o in�cio | Submeter coment�rios

Mais Informa��es

O SQL Server 2005 oferece suporte a autentica��o Kerberos indiretamente por meio a Windows seguran�a suporte interface do provedor (SSPI) quando voc� estiver usando autentica��o integrada do Windows em vez de autentica��o do SQL. No entanto, o SQL Server somente ser� usar a autentica��o Kerberos em determinadas circunst�ncias quando SQL Server podem usar SSPI para negociar o protocolo de autentica��o a ser usado. Se o SQL Server n�o puder usar Kerberos autentica��o, o Windows ir� usar NTLM autentica��o. Por motivos de seguran�a, recomendamos que voc� use a autentica��o Kerberos em vez da autentica��o NTLM. Os administradores e usu�rios devem saber como verificar se eles est�o usando a autentica��o Kerberos para conex�es remotas.

Para usar a autentica��o Kerberos, voc� deve fazer-se de que todas as seguintes condi��es sejam verdadeiras:

Tanto o servidor e os computadores cliente devem ser membros do mesmo dom�nio do Windows ou membros de dom�nios confi�veis.
Nome principal do servi�o do servidor (SPN) deve estar registrado no servi�o de diret�rio do Active Directory.
A inst�ncia do SQL Server 2005 deve ativar o TCP/IP protocolo.
O cliente deve se conectar � inst�ncia do SQL Server 2005 usando o protocolo TCP/IP. Por exemplo, voc� pode colocar o protocolo TCP/IP na parte superior da ordem de protocolo do cliente. Ou voc� pode adicionar o prefixo "tcp:" na seq��ncia de conex�o para especificar que a conex�o ser� usar o protocolo TCP/IP.

Como registrar um SPN em um dom�nio

Ao registrar um SPN para um servi�o do SQL Server, voc� basicamente cria um mapeamento entre um SPN e o Windows conta que iniciou o servi�o de inst�ncia do servidor.

Voc� deve registrar o SPN porque o cliente deve usar um SPN registrado para se conectar � inst�ncia do servidor. O SPN � composto usando o ?s nome do computador servidor e a porta TCP/IP. Se voc� n�o registrar o SPN, a SSPI n�o � poss�vel determinar a conta que est� associada com o SPN. Portanto, A autentica��o Kerberos n�o ser� usada.

Quando o SQL Server est� sendo executado sob a conta do sistema local ou em uma conta de administrador de dom�nio, a inst�ncia ser� automaticamente registrar o SPN no seguinte formato quando a inst�ncia � iniciado:

MSSQLSvc / FQDN: tcpport

Observa��o FQDN � o nome de dom�nio totalmente qualificado do servidor. tcpport � o n�mero de porta TCP/IP.

Como o n�mero de porta TCP � inclu�do no SPN, SQL Server deve ativar o protocolo TCP/IP de um usu�rio se conectar usando a autentica��o Kerberos. As regras mesmas se aplicam para configura��es de cluster. Al�m disso, se a inst�ncia registrado um SPN automaticamente quando a inst�ncia iniciada, o SPN ser� n�o registrado automaticamente quando a inst�ncia � interrompido.

Somente uma conta de administrador do dom�nio ou a conta do sistema local possui as permiss�es necess�rias para registrar um SPN. Portanto, se o servi�o do SQL Server for iniciado em uma conta de n�o-administrador, o SQL Server n�o pode registrar o SPN para a inst�ncia. Esse comportamento n�o ir� impedir que a inst�ncia seja iniciado. No entanto, a seguinte mensagem ser� registrada no log de aplicativo do log de eventos do Windows:

Tipo de evento: informa��es
Origem do evento: MSSQL $ InstanceName
Categoria do evento: (2)
IDENTIFICA��O de evento: 26037
Data: Date
Tempo: Time
Usu�rio: N/d
Computador: ComputerName
Descri��o:
A biblioteca da interface de rede SQL n�o foi poss�vel registrar o principal de servi�o Name (SPN) para o servi�o do SQL Server. Erro: 0x54b. Falha ao registrar um SPN pode causar a autentica��o integrada para fallback para NTLM em vez de Kerberos. Esta � uma mensagem informativa. A��o adicional � apenas necess�rio se autentica��o � necess�ria para diretivas de autentica��o Kerberos.
Para obter mais informa��es, consulte o Centro de Ajuda e suporte em http://support.microsoft.com.

Se essa mensagem � registrada, voc� deve registrar manualmente o SPN para a inst�ncia em uma conta de administrador de dom�nio para usar a autentica��o Kerberos. Para registrar o SPN, voc� pode usar a ferramenta SetSPN.exe inclu�da com o Windows 2000 Server Resource Kit. Essa ferramenta tamb�m est� inclu�da com as ferramentas de suporte Microsoft Windows Server 2003. Ferramentas de suporte do Windows Server 2003 s�o inclu�da no Microsoft Windows Server 2003 Service Pack 1 (SP1).

Para obter mais informa��es sobre como obter as ferramentas de suporte Windows Server 2003 Service Pack 1, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

892777

(http://support.microsoft.com/kb/892777/ )

Ferramentas de suporte do Windows Server 2003 Service Pack 1

Voc� pode usar um comando que � semelhante � seguinte para registrar um SPN para uma inst�ncia:

<computername><domainname> SetSPN ?A MSSQLSvc/<nome_do_computador>. <nome_do_dom�nio>: 1433 <accountname>

Observa��o Se j� existir um SPN, voc� deve excluir o SPN antes de registr�-lo novamente. Talvez voc� precise fazer isso se o mapeamento de conta foi alterado. Para exclu�do um SPN existente, voc� pode usar a ferramenta SetSPN.exe juntamente com a op��o - D .

Como se certificar de que voc� est� usando a autentica��o Kerberos

Depois de conectado a uma inst�ncia do SQL Server 2005, execute a seguinte instru��o Transact-SQL no SQL Server Management Studio:

select auth_scheme from sys.dm_exec_connections where session_id=@@spid

se o SQL Server � usando a autentica��o Kerberos, uma seq��ncia de caracteres que est� listada como "KERBEROS" aparece na coluna auth_scheme na janela de resultados.

Voltar para o in�cio | Submeter coment�rios

Refer�ncias

Para obter mais informa��es, consulte os t�picos a seguir no Microsoft SQL Server 2005 Books Online :

Registro de nome principal de servi�o
Como habilitar a autentica��o Kerberos incluindo SQL Server clusters de servidores virtuais no servidor

Voltar para o in�cio | Submeter coment�rios

Propriedades

ID do artigo: 909801 - �ltima revis�o: segunda-feira, 2 de outubro de 2006 - Revis�o: 2.3

A informa��o contida neste artigo aplica-se a:

Microsoft SQL Server 2005 Standard Edition
Microsoft SQL Server 2005 Developer Edition
Microsoft SQL Server 2005 Enterprise Edition
Microsoft SQL Server 2005 Workgroup Edition
Microsoft SQL Server 2005 Express Edition

kbmt kbsql2005connect kbinfo KB909801 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine Translation ou MT), n�o tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em portugu�s a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradu��o autom�tica n�o � sempre perfeita, podendo conter erros de vocabul�rio, sintaxe ou gram�tica. A Microsoft n�o � respons�vel por incoer�ncias, erros ou preju�zos ocorridos em decorr�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualiza��es freq�entes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 909801

(http://support.microsoft.com/kb/909801/en-us/ )

Voltar para o in�cio | Submeter coment�rios