CORRECÇÃO: Você pode não conseguir iniciar o SQL Server agent, se você configurar um cluster de failover do SQL Server 2005 para usar a delegação restringida de Kerberos para uma conta de usuário de domínio

Traduções deste artigo Traduções deste artigo
ID do artigo: 956378 - Exibir os produtos aos quais esse artigo se aplica.
Bug: # 50002978 (Hotfix do SQL)
A Microsoft distribui correções do Microsoft SQL Server 2005 como um arquivo para download. Como as correções são cumulativas, cada versão nova contém todos os hotfixes e todos os as correções de segurança que foram incluídas com o anterior SQL Server 2005 corrigir lançamento.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Considere o seguinte cenário:
  • Configurar um cluster de failover do Microsoft SQL Server 2005 para usar "Delegação de restrita de Kerberos" para uma conta de usuário de domínio.

    Observação Usar "Delegação restrita de Kerberos" significa que você usar a opção "Confiar neste usuário para delegação apenas a serviços especificados" para o usuário.
  • A conta de usuário de domínio não tem permissões de administrador de domínio.
  • Tanto o serviço do SQL Server quanto o serviço SQL Server Agent estão executando na conta de usuário domínio.
  • Você aplicou a atualização cumulativa do SQL Server 2005 Service Pack 2 (SP2) 3 ou posteriores atualizações cumulativas.
Nesse cenário, talvez seja não é possível iniciar o SQL Server agent e você pode receber uma das seguintes mensagens de erro:

mensagem de erro 1
<Data Hora >-! [298] Erro SQLServer: 22022, CryptUnprotectData() retornou o erro-2146892987, ' A operação solicitada não pode ser concluída. O computador deve ser confiável para delegação e a conta de usuário atual deve ser configurada para permitir a delegação. ' [SQLSTATE 42000]
<Date Time>- ! [442] ConnConnectAndSetCryptoForXpstar falha (0).
<Date Time>- ? [098] SQLServerAgent foi finalizado (normalmente)

mensagem de erro 2
<Date Time>- ! [298] Erro SQLServer: 22022, CryptUnprotectData() retornou o erro-2146893813, 'Chave não é válido para uso no estado especificado.' [SQLSTATE 42000]
<Date Time>- ! [442] ConnConnectAndSetCryptoForXpstar falha (0).
<Date Time>- ? [098] SQLServerAgent foi finalizado (normalmente)

Resolução

Informações da atualização cumulativa

A correção para esse problema foi lançada pela primeira vez na atualização cumulativa 9. Para obter mais informações sobre como obter esse pacote de atualizações cumulativas para o SQL Server 2005 Service Pack 2, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
953752Pacote de atualizações cumulativas 9 para SQL Server 2005 Service Pack 2
Observação Como as compilações são cumulativas, cada novo lançamento de correções contém todos os hotfixes e todas as correções de segurança foram incluídas com o anterior SQL Server 2005 corrigir lançamento. A Microsoft recomenda que você considere a aplicação a versão de correção mais recente que contém esse hotfix. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
937137Compilações do SQL Server 2005 lançados após o SQL Server 2005 Service Pack 2 foi lançado
Os hotfixes do Microsoft SQL Server 2005 são criados para service packs do SQL Server específicos. Você deve aplicar um hotfix do SQL Server 2005 Service Pack 2 para uma instalação do SQL Server 2005 Service Pack 2. Por padrão, qualquer hotfix fornecidas em um SQL Server service pack está incluído no service pack seguinte do SQL Server.

Como Contornar

No Windows Server 2003, para usar a delegação restrita em um ambiente de servidor de cluster para SQL Server 2005 com 3 atualização cumulativa ou uma atualização cumulativa mais recente até 9 atualização cumulativa instalado, execute essas etapas:
  1. Verifique se o nível funcional do domínio do Active Directory é definido para o Windows Server 2003 . Para verificar essa configuração, abra o Active Directory Users and Computers Microsoft Management Console (MMC), clique com o botão direito do mouse no nó do domínio e, em seguida, clique em Propriedades .

    Observação Se o campo de nível funcional do domínio não exibir o Windows Server 2003 , você não poderá usar a delegação restrita. Nesse caso, esse método não se aplica. A guia de delegação é mencionada abaixo não está disponível.
  2. Use o utilitário SETSPN para criar nomes principais de serviço (SPNs) para o serviço MSSQLSvc de acordo com as instruções no tópico da etapa 3 do SQL Server Books Online ? como para: habilitar Kerberos autenticação em um SQL Server Cluster de Failover ?. Você deve executar esta operação para todos os quatro combinações de SPN. Essas combinações são:
    • MSSQLSvc/NETBIOSName
    • MSSQLSvc/FQDN
    • MSSQLSvc / NETBIOSName:Port
    • MSSQLSvc / FQDN:Port
    Para obter mais informações sobre como obter o utilitário SETSPN, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    926027As atualizações para a ferramentas de suporte do Windows Server 2003 estão incluídas no Windows Server 2003 Service Pack 2
  3. Definir a delegação para a conta de serviço do SQL Server 2005. Para fazer isso, execute as seguintes etapas:
    1. Abra o MMC Active Directory Users and Computers.
    2. Localize o objeto de conta de usuário que o serviço SQL Server é executado em, clique com o botão direito do mouse na conta de usuário e em seguida, clique em Propriedades .
    3. Na caixa de diálogo Propriedades , clique na guia delegação .
    4. Selecione o botão de opção Confiar neste usuário para delegação apenas a serviços especificados .
    5. Selecione o botão de opção Usar apenas Kerberos ou botão de opção usar qualquer protocolo de autenticação .
    6. Clique em Adicionar .
    7. Na caixa de diálogo Adicionar serviços , clique em usuários ou computadores .
    8. Na caixa de diálogo Selecionar usuários ou computadores , digite a conta de usuário que o serviço do SQL Server está executando na caixa Nome do objeto e, em seguida, clique em OK .

      Observação Esta é a conta que você criou na etapa 2.
    9. Clique em Selecionar tudo e clique em OK na caixa de diálogo Adicionar serviços .
    10. Na caixa de diálogo Propriedades , clique em OK .
  4. Definir a delegação para a conta de computador de máquina virtual do SQL Server. A conta é o recurso nome da rede no grupo de recursos de cluster do SQL Server. Para fazer isso, execute as seguintes etapas:
    1. Abra o MMC Active Directory Users and Computers.
    2. Localize o objeto de conta de computador para a máquina virtual SQL Server, clique com o botão direito do mouse a conta de computador e, em seguida, clique em Propriedades .
    3. Na caixa de diálogo Propriedades , clique na guia delegação .
    4. Selecione o botão de opção Confiar neste usuário para delegação apenas a serviços especificados .
    5. Selecione o botão de opção Usar apenas Kerberos ou botão de opção usar qualquer protocolo de autenticação .
    6. Clique em Adicionar .
    7. Na caixa de diálogo Adicionar serviços , clique em usuários ou computadores .
    8. Na caixa de diálogo Selecionar usuários ou computadores , digite a conta de usuário que o serviço do SQL Server está executando na caixa Nome do objeto e, em seguida, clique em OK .

      Observação Esta é a conta que você criou na etapa 2.
    9. Clique em Selecionar tudo e clique em OK na caixa de diálogo Adicionar serviços .
    10. Na caixa de diálogo Propriedades , clique em OK .
  5. Defina delegação para cada cluster contas de computador de nó no cluster. Para fazer isso, execute as seguintes etapas:
    1. Abra o MMC Active Directory Users and Computers.
    2. Localize o objeto de conta de computador para um de nós de cluster, clique com o botão direito do mouse na conta e em seguida, clique em Propriedades .
    3. Na caixa de diálogo Propriedades , clique na guia delegação .
    4. Selecione o botão de opção Confiar neste usuário para delegação apenas a serviços especificados .
    5. Selecione o botão de opção usar qualquer protocolo de autenticação .
    6. Clique em Adicionar .
    7. Na caixa de diálogo Adicionar serviços , clique em usuários ou computadores .
    8. Na caixa de diálogo Selecionar usuários ou computadores , digite as contas de computador para todos os controladores de domínio neste domínio separados por ponto-e-vírgula na caixa Nome do objeto e, em seguida, clique em OK
    9. Na lista de serviços disponíveis, selecione o serviço cifs e o serviço protectedstorage por todos os controladores de domínio que mencionado na etapa h e clique em OK na caixa de diálogo Adicionar serviços .
    10. Na caixa de diálogo Propriedades , clique em OK .
  6. Reinicie todos os nós de cluster.

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Mais Informações

Para mais informações sobre quais arquivos são alterados e para obter informações sobre quaisquer pré-requisitos para aplicar o pacote de atualização cumulativa que contém o hotfix descrito neste artigo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
953752Pacote de atualizações cumulativas 9 para SQL Server 2005 Service Pack 2


Para obter mais informações sobre como habilitar a autenticação Kerberos em um cluster de failover do SQL Server, visite o seguinte site:
http://technet.microsoft.com/en-us/library/ms189585.aspx

Referências

Para obter mais informações sobre a lista de compilações disponibilizadas após o SQL Server Service Pack 2, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
937137Compilações do SQL Server 2005 lançados após o SQL Server 2005 Service Pack 2 foi lançado
Para obter mais informações sobre o modelo incremental de serviços para o SQL Server, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
935897Há um modelo incremental de serviços da equipe do SQL Server para fornecer hotfixes para problemas relatados
Para obter mais informações sobre como obter o SQL Server 2005 Service Pack 2, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
913089Como obter o service pack mais recente para o SQL Server 2005
Para obter mais informações sobre os novos recursos e os aprimoramentos no SQL Server 2005 Service Pack 2, visite o seguinte site:
http://go.microsoft.com/fwlink/?LinkId=71711
Para obter mais informações sobre o esquema para nomeação para atualizações do SQL Server, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
822499Novo esquema para nomeação para pacotes de atualização de software do Microsoft SQL Server
Para obter mais informações sobre terminologia de atualização de software, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
824684Descrição da terminologia padrão que é usada para descrever as atualizações de software

Propriedades

ID do artigo: 956378 - Última revisão: quarta-feira, 15 de outubro de 2008 - Revisão: 2.0
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
Palavras-chave: 
kbmt kbsql2005cluster kbexpertiseadvanced kbhotfixrollup kbfix kbpubtypekc kbqfe KB956378 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 956378

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com