فشل المصادقة بسبب قضايا Kerberos استكشاف الأخطاء وإصلاحها

يمكن أن يحدث فشل مصادقة Kerberos نتيجة لمجموعة من الأسباب. الأسباب الرئيسية والقرارات ذات الصلة فيما يلي:

نوع المشكلة

الحلول المقترحة

المشاكل SPN:

  • فأسماء Spn: لم يتم تسجيل SPN في active Directory

  • إدخالات SPN غير صحيحة: SPN موجود، ولكن رقم المنفذ غير صحيح أو كان موجوداً على حساب آخر خلاف حساب خدمة SQL.

  • تكرار أسماء Spn: نفس SPN موجود على حسابات متعددة في active directory

التحقق من "إدارة استخدام تكوين Kerberos لتشخيص وإصلاح مشاكل SPN والوفد" في الفقرة التالية لتشخيص المشكلات وحلها SPN. ملاحظة: لفي عمق فهم أسماء Spn، Kerberos ومفاهيم أخرى ذات صلة مراجعة المعلومات الموجودة في مقالة "قاعدة المعارف" التالية: كيفية استكشاف رسالة الخطأ "يتعذر إنشاء سياق SSPI"

حسابات خدمة SQL غير موثوق به للتفويض. إذا كنت تستخدم حساب "النظام المحلي"، يجب أن يكون الملقم الأوسط موثوق بها للتفويض في active directory

التبويب تفويض إدارة التكوين أوسيكيربيروس لتأكيد والعمل مع مسؤول خدمة active Directory لتمكين التفويض للحساب. تحقق من "إدارة استخدام تكوين Kerberos لتشخيص وإصلاح مشاكل SPN والتفويض" للحصول على التفاصيل في الفقرة التالية

تحليل الاسم غير صحيح: حل اسم الملقم الخاص بك إلى عنوان IP مختلف مما تم تسجيله قبل ملقم DNS على شبكة الاتصال.

ping-a < your_target_machine > (استخدم-4 و-6 ل IPv4 و IPv6 على وجه التحديد) ping-a < Your_remote_IPAddress > nslookup (اكتب اسم الجهاز البعيد والمحلي وعنوان IP الخاص بك عدة مرات) البحث عن أي اختلافات وعدم التطابق في النتائج التي تم إرجاعها. أمر حيوي لاتصال SQL صحة تكوين DNS على شبكة الاتصال. قد يؤدي إدخال غير صحيح في DNS لكافة أنواع الاتصال العدد فيما بعد. مشاهدة هذا الارتباط على سبيل مثال، "لا يمكن إنشاء SSPI سياق" رسالة الإعلام بالخطأ، تسمم DNS.

جدران الحماية أو أجهزة الشبكة الأخرى منع الاتصالات من العميل إلى وحدة تحكم المجال: أسماء Spn مخزنة في active directory، وإذا كان العملاء غير قادر على الاتصال بالإعلان، يتعذر متابعة الاتصال كذلك).

التحقق من الارتباطات التالية للحصول على معلومات إضافية

ملاحظة

  1. عند بدء تشغيل مثيل من مشغل قاعدة بيانات ملقم SQL، يحاول ملقم SQL لتسجيل SPN لخدمة SQL Server. عندما يتم إيقاف المثيل، يحاول ملقم SQL لإلغاء تسجيل SPN. ولكي يحدث هذا، يجب حساب خدمة SQL حقوق ريدسيرفيسيبرينسيبالنامي و وريتيسيرفيسيبرينسيبالنامي في active directory. ولكن، إذا كان حساب الخدمة ليس لديه هذه الحقوق لم يحدث تسجيل SPN تلقائياً وتحتاج إلى العمل مع مسؤول "خدمة active Directory" لتسجيل هذه لمثيلات SQL لتمكين مصادقة Kerberos. في هذا السيناريو، يتم استخدام مثيل مسمى، سيكون أكثر ملاءمة لاستخدام منفذ ثابت لذلك المثيل. إذا كنت تستخدم منافذ الحيوية، يمكنك تغيير رقم المنفذ كل مرة يتم إعادة تشغيل الخدمة والمسجلة يدوياً SPN للمثيل لم يعد صالحاً. للحصول على معلومات إضافية راجع المواضيع التالية في "كتب SQL Server عبر إنترنت": تسجيل اسم الخدمة الأساسي للاتصالات Kerberos

  2. في بيئات حيث SQL متفاوت المسافات التسجيل التلقائي لأسماء Spn غير مستحسن لأنه قد يستغرق وقتاً أطول لإلغاء تسجيل SPN وق-تسجيل SPN في active Directory من الوقت الذي يستغرقه ل SQL الاتصال بإنترنت. وإذا لم يحدث تسجيل SPN في الوقت المناسب، قد يمنع SQL من الاتصال مباشرة مسؤول الكتلة غير قادر على الاتصال ب SQL server.

باستخدام إدارة تكوين Kerberos لتشخيص وإصلاح مشاكل SPN والتفويض

  1. إدارة تكوين Microsoft® Kerberos ل SQL Server® تنزيل وتثبيت على جهاز عميل.

  2. قم بتشغيل الأداة باستخدام حساب مجال يفضل أن يتم ذلك باستخدام حساب له امتيازات كافية لإنشاء أسماء Spn في active directory الخاص بك. انظر الصورة أدناه:

    KerberosConfigManager

  3. الاتصال ب SQL Server الذي تريد تجميع Kerberos خطأ المعلومات ذات الصلة:

    ConnectKerberosConfigManager

  4. بمجرد الاتصال، يمكنك عرض علامات تبويب مختلفة كما هو موضح أدناه:

    النظام: يحتوي على معلومات النظام الأساسي. KerConfigManager_System

    SPN: يوفر معلومات SPN حول مثيلات كل مثيلات SQL الموجودة على الخادم الهدف ويوفر خيارات مختلفة كما هو موضح أدناه. استخدم علامة التبويب هذه للعثور على المفقودين أو أسماء Spn صحيح وأزرار إنشاء أو إصلاح لحل هذه المشكلات. KerConfigManager_SPN

    • إنشاء خيار سوف تتيح لك إنشاء البرنامج النصي إنشاء SPN. النقر فوق إنشاء زر بدء مربع الحوار التالي: KerConfigManager_GenerateSPN

      ينشئ هذا الخيار ملف cmd التي يمكن تنفيذها باستخدام موجه الأوامر لإنشاء SPN.

      محتوى جينيراتيسبنس، ستكون مشابهة لما يلي:

                          :: This script is generated by the Microsoft(c) SQL Server(c) Kerberos Configuration Manager tool.
      :: The script may update the system information, SPN settings and Delegation configurations of a given server.
      :: SPN and Delegation configuration updates require Windows Domain Administrator permission to execute.
      :: A Domain Admin should review the configurations recommended by this tool and take appropriate actions to enable Kerberos authentication.
      :: Please contact Microsoft Support if Kerberos connection problem persists.
      :: The file is intended to be run in domain "<DomainName>.com"
      :: Corrections for MSSQLSvc/<HostName>.<DomainName>.com
      SetSPN -s MSSQLSvc/<HostName>.<DomainName>.com UserName

      يستخدم الخيار SetSPN ببساطة لإنشاء SPN تحت حساب الخدمة ل SQL Server.

    • سيتم إضافة خيار إصلاح SPN طالما أن الحق في إضافة SPN ويظهر تلميح الأداة التالية:

      KerbConfigManager_Fix 

      ملاحظة

      توفر الأداة خيارات الإصلاح وإنشاء مثيلات افتراضية لمثيلات المسماة بالمنافذ الثابتة فقط. لمثيلات مسماة باستخدام المنفذ الحيوي، يوصي بالتبديل من الحيوية إلى المنافذ الثابتة أو منح الأذونات اللازمة لحساب الخدمة لتسجيل وإلغاء تسجيل SPN في كل مرة يتم بدء تشغيل الخدمة. وإلا عليك إلغاء تسجيل وإعادة تسجيل أسماء Spn المقابلة كل مرة يتم فيها تشغيل خدمة SQL يدوياً.

    • التبويب تفويض: علامة التبويب تعريف أية مشاكل مع تكوين حساب خدمة للتفويض. هذا مفيد خصوصا في استكشاف مشكلات ملقم مرتبط. على سبيل المثال، إذا سحب أسماء Spn بشكل جيد ولكن لا يزال في حالة تشغيل مشكلات مرتبطة خادم الاستعلام يمكن إشارة إلى أن حساب الخدمة غير تكوين تفويض بيانات الاعتماد. لمزيد من المعلومات راجع الموضوع الكتب على الإنترنت في تكوين الملقمات المرتبطة للتفويض.

      KerbConfigManger_Delegation 

  5. بمجرد حل أسماء Spn، إعادة تشغيل أداة إدارة تكوين Kerberos، وضمان SPN والتفويض علامات تبويب لم يعد التقرير أية رسائل خطأ وإعادة محاولة الاتصال من التطبيق الخاص بك.

لمزيد من المعلومات راجع الارتباطات التالية:

هل هذا إلى حل المشكلة؟

هل تحتاج إلى مزيد من المساعدة؟

توسيع المهارات
استكشاف التدريب
الحصول على الميزات الجديدة أولاً
الانضمام إلى Microsoft Insider

هل كانت المعلومات مفيدة؟

نشكرك على ملاحظاتك!

شكراً لك على الملاحظات! يبدو أنه من المفيد إيصالك بأحد وكلاء دعم Office لدينا.

×