Kerberos удостоверяване откази може да се случи поради редица причини. Основните причини и съответните решения са посочени по-долу:
Тип на проблема |
Предложените решения |
---|---|
SPN проблеми:
|
Проверете "използване на Kerberos конфигурационен Диспечер за диагностициране и отстраняване на проблеми с SPN и делегиране на" в следния абзац да диагностицирате и отстраните проблеми SPN. Забележка: За в дълбочина разбиране на spn, Kerberos и други понятия, свързани с преглед на информацията в следната статия от базата знания: Как да отстраните съобщението за грешка "Не може да генерира SSPI контекст" |
Отчети на SQL услугата не е надежден за делегиране. Ако използвате акаунт на локалната система, средната сървърът трябва да бъде надежден за делегиране в active directory |
UseKerberos конфигурационен диспечер делегиране tab, за да потвърдите и да работите с администратора на Active directory да позволи делегиране за акаунта. Потърсете информация в следния абзац "използване на Kerberos конфигурационен Диспечер за диагностициране и отстраняване на проблеми с SPN и делегиране" |
Неправилни имена: името на сървъра може да разрешаване на IP адрес, различен от регистрирана от вашата мрежа DNS сървър. |
Ping - < your_target_machine > (използвайте -4 и -6 IPv4 и IPv6 специално) Ping - < Your_remote_IPAddress > nslookup (въведете име на локални и отдалечени машина и IP адрес няколко пъти) Погледнете за несъответствия и несъответствия на върнатите резултати. Правилността на DNS конфигурацията на мрежата е необходимо SQL връзка. Грешен запис в DNS може да доведе до всички видове проблем при свързване с по-късно. Вижте тази връзка, например "не може да генерира SSPI контекст" съобщение за грешка, отровен DNS. |
Защитни стени или други мрежови устройства позволява връзки от клиента към домейнов контролер: spn се съхраняват в active directory и ако клиентите не са в състояние да комуникира с AD, връзката не може да продължи повече). |
Проверете следните връзки за допълнителна информация |
Забележка
-
При стартиране на екземпляр на SQL Server база данни на SQL Server се опитва да регистрирате и SPN за услугата на SQL Server. Когато екземплярът е спряна, SQL Server се опитва да дерегистрирате SPN. За да се случи акаунтът за услугата на SQL трябва ReadServicePrincipalName и WriteServicePrincipalName права в active directory. Но ако сервизният акаунт няма тези права автоматично SPN регистриране не се случи и трябва да работите с администратора на Active Directory за регистриране за SQL случаи, за да разрешите Kerberos удостоверяване. В този случай Ако използвате екземпляр с име, тя ще бъде по-удобно да използвате статичен порт за този случай. Ако използвате динамичен портове, номера на порта да се променят всеки път, услугата се рестартира и ръчно регистрираните SPN например вече не е валиден. За допълнителна информация вижте следните теми в SQL Server Books Online: Регистрирайте главно име на услуга за Kerberos връзки
-
В среди, където SQL е клъстери автоматично регистриране на spn не се препоръчва тъй като може да отнеме повече време да дерегистрирате SPN и r-регистър SPN в Active directory от времето, необходимо за SQL да влезе в онлайн режим. Ако SPN регистрацията не се случва във времето, той може да попречи SQL идва онлайн, защото администратора на клъстера не е в състояние да се свърже с SQL server.
Използване на Kerberos конфигурационен Диспечер за диагностициране и отстраняване на проблеми с SPN и делегиране
-
Изтегляне на Microsoft® Kerberos Диспечер на конфигурация за SQL Server® и да го инсталирате на клиентски компютър.
-
Стартиране на инструмента за използване на акаунт на домейн за предпочитане с акаунт с права за създаване на spn в на active directory. Вижте по-долу картина:
-
Свързване с SQL Server, който искате да съберете Kerberos информация, свързана с грешка:
-
Веднъж свързан, можете да видите различни раздели, както е показано по-долу:
Система: има основна информация за системата.
SPN:Предоставя SPN информация за случаи на всяка от намерени на целевия сървър екземпляри на SQL и различните опции, както беше отбелязано по-долу. Използвайте този раздел, за да намерите липсващите или неправилно spn и генерира или корекция бутони за да отстраните тези проблеми.
-
Генериране наопция ще ви позволи да създадете SPN поколение скрипт. Щракнете върху Създаване бутон започва следния диалогов прозорец:
Тази опция създава cmd файл, който може да бъде изпълнена от командния ред за генериране на SPN.
Съдържанието на generateSPNs, ще бъде подобно на следното:
:: This script is generated by the Microsoft(c) SQL Server(c) Kerberos Configuration Manager tool. :: The script may update the system information, SPN settings and Delegation configurations of a given server. :: SPN and Delegation configuration updates require Windows Domain Administrator permission to execute. :: A Domain Admin should review the configurations recommended by this tool and take appropriate actions to enable Kerberos authentication. :: Please contact Microsoft Support if Kerberos connection problem persists. :: The file is intended to be run in domain "<DomainName>.com" :: Corrections for MSSQLSvc/<HostName>.<DomainName>.com SetSPN -s MSSQLSvc/<HostName>.<DomainName>.com UserName
Тя просто използва SetSPN опцията да създадете SPN с акаунта за услугата за SQL Server.
-
Решение опция ще добави SPN като имате право да добавите SPN и показва следните екранно пояснение:
Забележка
Инструментът предоставя само корекция и генерира възможности за екземплярите по подразбиране и име случаи със статични портове. За име случаи с динамични порт препоръка е да превключите от динамични статични портове или Дайте необходимите разрешения за акаунт на услуга за регистриране и SPN всеки път е стартирана. В противен случай трябва да ръчно unregister и Пререгистрирайте съответните spn всяко SQL услугата е стартирана.
-
Делегиране на раздела: раздела идентифицира проблеми с конфигуриране на акаунт на услуга за делегиране. Това е особено полезна при отстраняване на свързани с проблеми със сървъра. Например ако spn вижте добре, но ако сте все още се сблъскате проблеми със свързани сървър заявки за това може да е индикация, че акаунтът на услугата не е конфигуриран да делегира идентификационни данни. За допълнителна информация прегледайте книги онлайн темата Конфигуриране свързани сървъри за делегиране.
-
-
След като разрешите spn, повторно изпълнение на инструмента Kerberos конфигурационен диспечер и гарантира SPN и делегиране раздели вече отчет за съобщения за грешки и опитайте отново връзката от приложението.
За допълнителна информация прегледайте следните връзки:
Това реши ли проблема?