As solicitações de autenticação entre os nós no mesmo cluster podem não conseguir usar o protocolo Kerberos se o Negotiate SSP especificado

Solicitações de autenticação que utilizem o Negotiate SSP podem não conseguir usar o protocolo Kerberos para acessar os recursos de um nó em um cluster para outro nó no mesmo cluster. Nesse cenário, o NTLM é usado como o protocolo de autenticação não é possível executar a delegação.

a seguir está um cenário de exemplo:

• Instalar uma instância do Microsoft SQL server em um nó.
• Instalar outra instância do SQL server em outro nó.
• Na primeira instância, você cria um servidor vinculado que destinos de segunda instância.
• Grupo de o recurso de cluster que inclui a segunda instância failover para o primeiro nó. Em seguida, o grupo de recursos de cluster é movido para o segundo nó.
• Acesso a bancos de dados na segunda instância no primeiro nó, usando uma configuração de servidor vinculado.

Neste cenário, o acesso anônimo é usado para acessar o banco de dados inesperada. Portanto, os resultados de dados inconsistentes são retornados.

Esse problema ocorre porque o destino em cluster de recurso de nome DNS não é removida da tabela de nomes local que é mantida pelo LSA Local Security Authority () quando o recurso de cluster é uma transição em um estado offline.

Quando um recurso do cluster é uma transição em um estado on-line em um nó, o serviço de cluster registra seu nome DNS e o nome de NetBIOS em uma tabela que é mantida pela LSA. Esta tabela contém os nomes de todos os recursos de cluster que estão hospedados no nó do cluster localmente.

o registro de nomes DNS é uma nova funcionalidade no Windows Server 2008. Anteriormente, apenas os nomes NetBIOS são registrados.

Quando um aplicativo em chamadas de nó de cluster doInitializeSecurityContextfunção para iniciar a autenticação com um serviço e o Negotiate SSP é usada, a LSA verifica a tabela de nomes locais para o nome de destino. Se o nome de destino existe na tabela de nomes local, a LSA usa otimização para atender à solicitação. A otimização é usada porque o recurso de destino é local. Portanto, não é necessário para criar dados de autenticação Kerberos para enviar a um host remoto.

Ao Cluster de um recurso entra em estado offline no nó, o nome DNS não é removido da tabela. Nessa situação, a LSA considera o recurso seja hospedado no nó local. No entanto, o recurso está hospedado em um nó remoto.

LSA se usa a otimização e o serviço de destino não está no nó local, NTLM será usado para autenticar para o host remoto. Isso resulta em uma falha na delegação e a representação no host remoto será criada sob o contexto anônimo. Portanto, o acesso aos recursos de cluster pode falhar ou não há nenhum acesso suficiente para retornar os resultados esperados.

Depois de aplicar esse hotfix, os nomes NetBIOS e DNS serão removidos da tabela de nomes locais quando o recurso passa no estado offline.

Esse hotfix também remove uma dependência ao registro de nomes DNS que pode parar de tabela de nomes locais que estão sendo atualizada. Depois de aplicar esse hotfix, os nomes DNS e NetBIOS ser adicionados ou removidos da tabela de nomes local independentemente do registro de nome DNS.

Informações sobre o hotfix

Um hotfix compatível está disponível na Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplica esta correcção apenas em sistemas que apresentarem o problema descrito neste artigo. Este hotfix pode receber testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que aguarde a próxima atualização de software que contém esse hotfix.

Se o hotfix está disponível para download, existirá uma seção de "Download de Hotfix disponível" na parte superior deste artigo do Knowledge Base. Se essa seção não for exibido, entre em contato com o suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação:Se outros problemas ocorrem ou se for necessária qualquer solução de problemas, talvez seja necessário criar uma solicitação de serviço separada. Os custos de suporte normais se aplicarão a perguntas de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Números de telefone para uma lista completa de suporte e atendimento ao cliente da Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site:Observação:o formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é como um hotfix não está disponível para esse idioma.

Pré-requisitos

Para aplicar esse hotfix, você deve estar executando o Windows Server 2008 Service Pack 2 (SP2).

Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Requisito de reinicialização

Talvez seja necessário reiniciar o computador após aplicar esse hotfix.

Informações de substituição do hotfix

Esta correcção não substitui um hotfix lançado anteriormente.

Informações do arquivo

Versão o inglês (Estados Unidos) deste hotfix instala os arquivos que tenham os atributos listados nas tabelas a seguir. As datas e as horas destes ficheiros são listadas na hora universal coordenada (UTC). As datas e os horários para esses arquivos no computador local são exibidos na sua hora local com a diferença de horário de verão (DST) atual. Além disso, as datas e as horas podem ser alterados quando você executa certas operações nos arquivos.

Observações das informações de arquivo do Windows Server 2008

ImportanteOs hotfixes do Windows Vista de e os hotfixes do Windows Server 2008 são incluídos nos mesmos pacotes. No entanto, apenas o "Windows Vista" é listado na página <a0>solicitação de Hotfix. Para solicitar o pacote de hotfix do que se aplica a um ou ambos os sistemas operacionais, selecione o hotfix listado em "Windows Vista" na página. Sempre consulte a seção "Aplica-se A" no artigo para determinar o sistema operacional real, que cada hotfix se aplica a.

• Os arquivos que se aplicam a um produto específico, SR_Level (RTM, SPn) e ramificação do serviço (LDR, GDR) pode ser identificada ao examinar os números de versão do arquivo, como mostrado na tabela a seguir.
  Recolher esta tabelaExpandir esta tabela

  Versão	Produto	SR_Level	Ramificação do serviço
  6.0.6000.20xxx	O Windows Vista	RTM	LDR
  6.0.6001.22xxx	O Windows Vista e Windows Server 2008	SP1	LDR
  6.0.6002.22xxx	O Windows Vista e Windows Server 2008	SP2	LDR

• Service Pack 1 está integrado na versão de lançamento do Windows Server 2008. Portanto, os arquivos da etapa RTM se aplicam somente ao Windows Vista. Arquivos da etapa RTM tem um 6.0.0000.xxxxxnúmero de versão.
• O MANIFESTO de arquivos (. manifest) e os arquivos MUM (. mum) instalados para cada ambiente sãolistados separadamentena seção "informações de arquivo adicionais para o Windows Server 2008 e Windows Vista". MUM arquivos e arquivos MANIFEST e os arquivos de catálogo (. cat) de segurança associadas são extremamente importantes para manter o estado dos componentes atualizados. Os arquivos de catálogo de segurança para o qual os atributos não estiverem listados, são assinados com uma assinatura de digital Microsoft.

Para todas as versões baseadas em x86 do Windows Server 2008

Para todas as versões baseadas em x64 do Windows Server 2008

Para todos os baseados em IA-64 versões suportadas do Windows Server 2008

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Para obter mais informações sobre a terminologia da atualização de software, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Informações de arquivo adicionais

Informações de arquivo adicionais para o Windows Server 2008

Arquivos adicionais para todas as versões baseadas em x86 do Windows Server 2008

Arquivos adicionais para todas as versões baseadas em x64 do Windows Server 2008

Arquivos adicionais para todas as com base em IA-64 versões compatíveis do Windows Server 2008