Ujistit se, že při vytvoření vzdáleného připojení k instanci serveru SQL Server 2005 používáte ověřování pomocí protokolu Kerberos

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku:909801
ÚVOD
Tento článek popisuje, jak zajistit, že používáte Ověřování pomocí protokolu Kerberos jako metodu ověřování systému Microsoft Windows při vytvoření vzdáleného připojení k instanci Microsoft SQL Server 2005.
Další informace
SQL Server 2005 nepřímo podporuje ověřování pomocí protokolu Kerberos až Windows zabezpečení Support Provider Interface (SSPI) po Namísto ověřování SQL pomocí integrovaného ověřování systému Windows. Však SQL Server použije pouze ověřování Kerberos, za určitých okolností můžete pomocí serveru SQL Server SSPI vyjednat použití ověřovacího protokolu. Pokud je SQL Server nelze použít protokol Kerberos ověřování, použije systém Windows NTLM ověřování. Z bezpečnostních důvodů doporučujeme používat ověřování pomocí protokolu Kerberos namísto ověřování NTLM. Správci a uživatelé by Nevíte, jak Ujistěte se, že pro vzdálené používají ověřování pomocí protokolu Kerberos připojení.

Chcete-li používat ověřování pomocí protokolu Kerberos, ujistěte se že jsou splněny všechny následující podmínky:
  • Server a klientské počítače musí být členy stejné domény systému Windows nebo členy důvěryhodných domén.
  • Musí být na serveru hlavní název služby (SPN) v adresářové službě Active Directory registrován.
  • Instance serveru SQL Server 2005, musíte povolit TCP/IP protokol.
  • Klient musí připojit k instanci serveru SQL Server 2005 pomocí protokolu TCP/IP. Můžete například vložit protokol TCP/IP v horní části pořadí protokolů klienta. Nebo můžete přidat předponu "tcp:" v řetězci připojení k Určete, zda budou připojení pomocí protokolu TCP/IP.

Jak zaregistrovat název SPN v doméně

Při registraci služby SQL Server, název SPN je v podstatě vytvořte mapování mezi hlavní název služby a systému Windows účet, který je spuštěna instance služby server.

Hlavní název služby je nutné zaregistrovat, protože klient musí připojit k instanci serveru pomocí registrovaných názvů SPN. Hlavní název služby se skládá s použitím názvu počítače serveru a TCP/IP port. Pokud nelze zaregistrovat, hlavní název služby, rozhraní SSPI nelze určit účet, který je spojen s hlavní název služby. Ověřování pomocí protokolu Kerberos proto nelze použít.

Při spuštění serveru SQL Server pomocí místního systémového účtu, nebo v rámci domény účet správce, instance automaticky zaregistruje název SPN v Při spuštění instance následující formát:
MSSQLSvc /FQDN:tcpport
Poznámka: FQDN je úplným názvem domény název serveru. tcpport je číslo portu TCP/IP.

Protože číslo portu TCP je součástí hlavní název služby, musíte povolit serveru SQL Server Protokol TCP/IP pro uživatele připojit pomocí ověřování pomocí protokolu Kerberos. Stejné pravidla platí pro konfigurace clusteru. Navíc pokud instance automaticky zaregistrován název SPN při spuštění instance, hlavní název služby neregistrované automaticky při instance zastaví.

Pouze účet správce domény nebo místní systémový účet má požadovaná oprávnění zaregistrovat název SPN. Proto pokud SQL Server spuštěn pod účtem bez oprávnění správce serveru SQL Server Nelze zaregistrovat SPN instance. K tomuto chování zabránit instance spuštění. Však bude v protokolu aplikace zaznamenána následující zpráva z protokolu událostí systému Windows:

Typ události: informace
Zdroj události: MSSQL$InstanceName
Událost Kategorie: (2).
ID události: 26037
Datum: Datum
Čas: Čas
Uživatel: není k dispozici
Počítač: Název_počítače
Popis:
Síť SQL Knihovna rozhraní nelze zaregistrovat hlavního názvu služby (SPN) pro Služba SQL Server. Chyba: 0x54b. Může způsobit selhání zaregistrovat název SPN Integrované ověřování k návratu k NTLM namísto protokolu Kerberos. Jedná se informační zpráva. Další akce je pouze vyžadován, pokud pomocí protokolu Kerberos zásadami ověřování je vyžadováno ověření.
Další informace informace naleznete v tématu nápovědy a odborné pomoci na http://support.microsoft.com.

Pokud je tato zpráva zaznamenána, je třeba zaregistrovat ručně SPN instance v rámci domény účet správce používat ověřování Kerberos. K zaregistrovat hlavní název služby, můžete pomocí nástroje SetSPN.exe, která je součástí systému Microsoft Windows 2000 Server. Sady Resource Kit. Tento nástroj je také součástí nástrojů podpory systému Microsoft Windows Server 2003. Nástroje podpory systému Windows Server 2003 jsou zahrnuty v aktualizaci Microsoft Windows Server 2003 Service Pack 1 (SP1).

Další informace o získání podpory systému Windows Server 2003 Service Pack 1 Nástroje, klepněte na následující číslo článku databáze Microsoft Knowledge Base:
892777Nástroje podpory systému Windows Server 2003 Service Pack 1
Můžete použít příkaz, která je podobná následující Zaregistrujte název SPN instance:
SetSPN –A MSSQLSvc /<computername>.<domainname>:1433 <accountname></accountname></domainname></computername>
Poznámka: Pokud název SPN již existuje, je nutné před můžete znovu zaregistrujte odstranit hlavní název služby. Budete muset provést mapování účtu se změnil. K odstranit existující název SPN, můžete pomocí nástroje SetSPN.exe spolu s -Dpřepnete.

Ujistit se, že používáte ověřování pomocí protokolu Kerberos

Po připojení k instanci serveru SQL Server 2005, spusťte následující příkaz Transact-SQL serveru SQL Server Management Studio:
select auth_scheme from sys.dm_exec_connections where session_id=@@spid
Pokud SQL Server používá ověřování pomocí protokolu Kerberos, řetězec znaků která je uvedena jako "kerberos" se zobrazí ve sloupci auth_scheme ve výsledku okno.
Odkazy
Další informace naleznete v následujících tématech Microsoft SQL Server 2005 Books Online:
  • Hlavní název služby registrace
  • Jak povolit ověřování pomocí protokolu Kerberos, včetně serveru SQL Server virtuálních serverů v clusterech serverů

Upozornění: Tento článek je přeložený automaticky

Eigenschaften

Artikelnummer: 909801 – Letzte Überarbeitung: 05/22/2011 16:12:00 – Revision: 4.0

Microsoft SQL Server 2005 Standard Edition, Microsoft SQL Server 2005 Developer Edition, Microsoft SQL Server 2005 Enterprise Edition, Microsoft SQL Server 2005 Workgroup Edition, Microsoft SQL Server 2005 Express Edition

  • kbsql2005connect kbinfo kbmt KB909801 KbMtcs
Feedback