Отстраняване на неизправности за удостоверяване поради Kerberos проблеми

Kerberos удостоверяване откази може да се случи поради редица причини. Основните причини и съответните решения са посочени по-долу:

Тип на проблема

Предложените решения

SPN проблеми:

  • Липсва spn: SPN не е регистриран в Active directory

  • Неправилни записи SPN: SPN съществува, но номера на порта е неправилен или съществува на друг акаунт, различен от акаунта на услугата на SQL.

  • Дублирани spn: Същата SPN съществува на няколко акаунта в active directory

Проверете "използване на Kerberos конфигурационен Диспечер за диагностициране и отстраняване на проблеми с SPN и делегиране на" в следния абзац да диагностицирате и отстраните проблеми SPN. Забележка: За в дълбочина разбиране на spn, Kerberos и други понятия, свързани с преглед на информацията в следната статия от базата знания: Как да отстраните съобщението за грешка "Не може да генерира SSPI контекст"

Отчети на SQL услугата не е надежден за делегиране. Ако използвате акаунт на локалната система, средната сървърът трябва да бъде надежден за делегиране в active directory

UseKerberos конфигурационен диспечер делегиране tab, за да потвърдите и да работите с администратора на Active directory да позволи делегиране за акаунта. Потърсете информация в следния абзац "използване на Kerberos конфигурационен Диспечер за диагностициране и отстраняване на проблеми с SPN и делегиране"

Неправилни имена: името на сървъра може да разрешаване на IP адрес, различен от регистрирана от вашата мрежа DNS сървър.

Ping - < your_target_machine > (използвайте -4 и -6 IPv4 и IPv6 специално) Ping - < Your_remote_IPAddress > nslookup (въведете име на локални и отдалечени машина и IP адрес няколко пъти) Погледнете за несъответствия и несъответствия на върнатите резултати. Правилността на DNS конфигурацията на мрежата е необходимо SQL връзка. Грешен запис в DNS може да доведе до всички видове проблем при свързване с по-късно. Вижте тази връзка, например "не може да генерира SSPI контекст" съобщение за грешка, отровен DNS.

Защитни стени или други мрежови устройства позволява връзки от клиента към домейнов контролер: spn се съхраняват в active directory и ако клиентите не са в състояние да комуникира с AD, връзката не може да продължи повече).

Проверете следните връзки за допълнителна информация

Забележка

  1. При стартиране на екземпляр на SQL Server база данни на SQL Server се опитва да регистрирате и SPN за услугата на SQL Server. Когато екземплярът е спряна, SQL Server се опитва да дерегистрирате SPN. За да се случи акаунтът за услугата на SQL трябва ReadServicePrincipalName и WriteServicePrincipalName права в active directory. Но ако сервизният акаунт няма тези права автоматично SPN регистриране не се случи и трябва да работите с администратора на Active Directory за регистриране за SQL случаи, за да разрешите Kerberos удостоверяване. В този случай Ако използвате екземпляр с име, тя ще бъде по-удобно да използвате статичен порт за този случай. Ако използвате динамичен портове, номера на порта да се променят всеки път, услугата се рестартира и ръчно регистрираните SPN например вече не е валиден. За допълнителна информация вижте следните теми в SQL Server Books Online: Регистрирайте главно име на услуга за Kerberos връзки

  2. В среди, където SQL е клъстери автоматично регистриране на spn не се препоръчва тъй като може да отнеме повече време да дерегистрирате SPN и r-регистър SPN в Active directory от времето, необходимо за SQL да влезе в онлайн режим. Ако SPN регистрацията не се случва във времето, той може да попречи SQL идва онлайн, защото администратора на клъстера не е в състояние да се свърже с SQL server.

Използване на Kerberos конфигурационен Диспечер за диагностициране и отстраняване на проблеми с SPN и делегиране

  1. Изтегляне на Microsoft® Kerberos Диспечер на конфигурация за SQL Server® и да го инсталирате на клиентски компютър.

  2. Стартиране на инструмента за използване на акаунт на домейн за предпочитане с акаунт с права за създаване на spn в на active directory. Вижте по-долу картина:

    KerberosConfigManager

  3. Свързване с SQL Server, който искате да съберете Kerberos информация, свързана с грешка:

    ConnectKerberosConfigManager

  4. Веднъж свързан, можете да видите различни раздели, както е показано по-долу:

    Система: има основна информация за системата. KerConfigManager_System

    SPN:Предоставя SPN информация за случаи на всяка от намерени на целевия сървър екземпляри на SQL и различните опции, както беше отбелязано по-долу. Използвайте този раздел, за да намерите липсващите или неправилно spn и генерира или корекция бутони за да отстраните тези проблеми. KerConfigManager_SPN

    • Генериране наопция ще ви позволи да създадете SPN поколение скрипт. Щракнете върху Създаване бутон започва следния диалогов прозорец: KerConfigManager_GenerateSPN

      Тази опция създава cmd файл, който може да бъде изпълнена от командния ред за генериране на SPN.

      Съдържанието на generateSPNs, ще бъде подобно на следното:

                          :: This script is generated by the Microsoft(c) SQL Server(c) Kerberos Configuration Manager tool.
:: The script may update the system information, SPN settings and Delegation configurations of a given server.
:: SPN and Delegation configuration updates require Windows Domain Administrator permission to execute.
:: A Domain Admin should review the configurations recommended by this tool and take appropriate actions to enable Kerberos authentication.
:: Please contact Microsoft Support if Kerberos connection problem persists.
:: The file is intended to be run in domain "<DomainName>.com"
:: Corrections for MSSQLSvc/<HostName>.<DomainName>.com
SetSPN -s MSSQLSvc/<HostName>.<DomainName>.com UserName

      Тя просто използва SetSPN опцията да създадете SPN с акаунта за услугата за SQL Server.

    • Решение опция ще добави SPN като имате право да добавите SPN и показва следните екранно пояснение:

      KerbConfigManager_Fix 

      Забележка

      Инструментът предоставя само корекция и генерира възможности за екземплярите по подразбиране и име случаи със статични портове. За име случаи с динамични порт препоръка е да превключите от динамични статични портове или Дайте необходимите разрешения за акаунт на услуга за регистриране и SPN всеки път е стартирана. В противен случай трябва да ръчно unregister и Пререгистрирайте съответните spn всяко SQL услугата е стартирана.

    • Делегиране на раздела: раздела идентифицира проблеми с конфигуриране на акаунт на услуга за делегиране. Това е особено полезна при отстраняване на свързани с проблеми със сървъра. Например ако spn вижте добре, но ако сте все още се сблъскате проблеми със свързани сървър заявки за това може да е индикация, че акаунтът на услугата не е конфигуриран да делегира идентификационни данни. За допълнителна информация прегледайте книги онлайн темата Конфигуриране свързани сървъри за делегиране.

      KerbConfigManger_Delegation 

  5. След като разрешите spn, повторно изпълнение на инструмента Kerberos конфигурационен диспечер и гарантира SPN и делегиране раздели вече отчет за съобщения за грешки и опитайте отново връзката от приложението.

За допълнителна информация прегледайте следните връзки:

Това реши ли проблема?

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×