Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Selhání ověřování Kerberos může dojít z různých důvodů. Hlavní příčiny a odpovídající řešení jsou zvýrazněny níže:

Typ problému

Doporučená řešení

Problémy SPN:

  • Chybějící názvy SPN: SPN není zaregistrován ve službě Active directory

  • Nesprávné záznamy SPN: SPN existuje, ale není správné číslo portu nebo existuje na jiný účet než účet služby SQL.

  • Duplicitní názvy SPN: Stejné SPN existuje více účtů ve službě active directory

Zkontrolujte "pomocí protokolu Kerberos Configuration manager Chcete-li diagnostikovat a opravit problémy SPN a delegování" "v následujícím odstavci diagnostikovat a vyřešit problémy SPN. Poznámka: V hloubce znalost názvy SPN Kerberos a jiných souvisejících pojmů naleznete informace v následujícím článku KB: Jak řešit chybová zpráva "Nelze vytvořit kontext SSPI."

Účty služby SQL není důvěryhodný pro delegování. Pokud použijete místní systémový účet by měl být střední server důvěryhodný pro delegování ve službě active directory

Správce konfigurace UseKerberos kartu delegování potvrdit a práce se správcem služby Active directory povolit delegování pro účet. Zkontrolujte podrobnosti v následujícím odstavci "diagnostikovat a opravit problémy SPN a delegování Správce konfigurace pomocí protokolu Kerberos"

Nesprávný překlad: název serveru může přeložit na jinou adresu IP, než který je registrován serverem DNS v síti.

ping - a < your_target_machine > (použijte -4 a -6 pro IPv4 a IPv6 konkrétně) ping - a < Your_remote_IPAddress > nslookup (zadejte název místní a vzdálené počítače a adresu IP vícekrát) Hledat všechny rozpory a neshody na vrácené výsledky. Správnost konfigurace služby DNS v síti, je nezbytně nutné k připojení k SQL Server. Nesprávné položky DNS může způsobit pozdější všeho druhu problému s připojením. Tento odkaz, například, "nelze generovat SSPI kontextu" chybová zpráva poškozen DNS.

Brány firewall a ostatní síťová zařízení, které brání připojení k řadiči domény klienta: názvy SPN jsou uloženy ve službě active directory a pokud klienti nemůže komunikovat s AD, připojení nemůže pokračovat).

Zkontrolujte následující odkazy získáte další informace

Poznámka:

  1. Při spuštění instance databázového stroje SQL Server, SQL Server se pokusí zaregistrovat hlavní název služby pro službu SQL Server. Po zastavení instance serveru SQL Server se pokusí zrušit registraci hlavní název služby. Účet služby SQL pro tento stát potřebuje práva ReadServicePrincipalName a WriteServicePrincipalName v adresáři active directory. Ale pokud účet služby nemá tato práva nenastává automatické registrace hlavní název služby a potřebujete pro práci se správcem služby Active Directory k registraci pro instance SQL chcete-li povolit ověřování pomocí protokolu Kerberos. V tomto scénáři Pokud používáte pojmenovanou instanci, bude vhodnější použít statický port pro tuto instanci. Pokud používáte dynamické porty, číslo portu můžete změnit při každém restartování služby a ručně registrovaný název SPN pro instanci již není platný. Další informace naleznete v následujících tématech v SQL Server Books Online: Zaregistrovat hlavní název služby pro připojení pomocí protokolu Kerberos

  2. V prostředích, kde je SQL clusteru Automatická registrace názvů SPN není doporučeno, protože může trvat více času na registraci názvu SPN a r registraci SPN ve službě Active directory než čas potřebný pro SQL do režimu online. Pokud registrace názvů SPN v době nestane, ji může zabránit SQL přicházejících online, protože správce clusteru není možné připojit k serveru SQL server.

Pomocí nástroje Správce konfigurace protokolu Kerberos diagnostikovat a opravit problémy SPN a delegování

  1. Kerberos Správce konfigurace aplikace Microsoft® pro SQL Server® stáhnout a nainstalovat do klientského počítače.

  2. Spusťte nástroj, pokud možno pomocí účtu domény s účtem, který má dostatečná oprávnění k vytvoření názvů SPN služby active directory. Najdete pod obrázkem:

    KerberosConfigManager

  3. Připojení k serveru SQL Server chcete shromažďovat Kerberos chyby související informace:

    ConnectKerberosConfigManager

  4. Po připojení můžete zobrazit různé karty, jak je ukázáno níže:

    Systém: obsahuje základní informace o systému. KerConfigManager_System

    SPN:Jsou uvedeny informace o SPN instance každé instance SQL nalezen na cílovém serveru a poskytuje různé možnosti, jak je uvedeno níže. Pomocí této karty najít chybějící nebo nesprávně nakonfigurovaný SPN a tlačítka Generovat nebo oprava Chcete-li vyřešit tyto problémy. KerConfigManager_SPN

    • Generovatmožnost umožňují vytvořit skript pro generování názvů SPN. Klepněte na Generovat tlačítko dojde k vypnutí následující dialogové okno: KerConfigManager_GenerateSPN

      Tato možnost vytvoří soubor cmd , který lze spustit z příkazového řádku ke generování názvu SPN.

      GenerateSPNs, obsah bude vypadat podobně jako následující:

                          :: This script is generated by the Microsoft(c) SQL Server(c) Kerberos Configuration Manager tool.
:: The script may update the system information, SPN settings and Delegation configurations of a given server.
:: SPN and Delegation configuration updates require Windows Domain Administrator permission to execute.
:: A Domain Admin should review the configurations recommended by this tool and take appropriate actions to enable Kerberos authentication.
:: Please contact Microsoft Support if Kerberos connection problem persists.
:: The file is intended to be run in domain "<DomainName>.com"
:: Corrections for MSSQLSvc/<HostName>.<DomainName>.com
SetSPN -s MSSQLSvc/<HostName>.<DomainName>.com UserName

      Jednoduše používá možnost SetSPN vytvořit název SPN v rámci účtu služby serveru SQL Server.

    • Dokud máte právo Přidat hlavní název služby a následující tip nástroje se zobrazí možnost opravit přidá název SPN:

      KerbConfigManager_Fix 

      Poznámka:

      Tento nástroj poskytuje pouze oprava a generovat možnosti pro výchozí instance a pojmenované instance s statické porty. Pojmenovaná instance pomocí dynamických portů doporučujeme přepnout z dynamického na statické porty nebo přidělit potřebná oprávnění pro účet služby chcete-li registrovat a rušit registraci názvu SPN při každém, že je služba spuštěna. V opačném případě je nutné ručně zrušit registraci a přeregistraci odpovídající názvy SPN pokaždé, když je spuštěna služba SQL.

    • Karta delegování: kartě identifikuje problémy s konfigurací účtu služby pro delegování. To je užitečné zejména při odstraňování potíží spojené problémy serveru. Například pokud rezervaci názvu SPN, jemné, ale pokud přesto narazíte na problémy s propojený server požádá jej lze údajem, že účet služby není nastavit delegování pověření. Další informace naleznete v Books online téma Konfigurace propojenýchserverů pro delegování.

      KerbConfigManger_Delegation 

  5. Po odstranění názvu SPN znovu spusťte nástroj Správce konfigurace protokolu Kerberos a zajištění SPN a delegování karty již sestavy všechny chybové zprávy a opakujte pokus o připojení z aplikace.

Další informace naleznete na následující odkazy:

To problém vyřešit?

Facebook LinkedIn E-mail

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti

Projít školení >

Získejte nové funkce jako první

ZAPOJTE SE DO PROGRAMU MICROSOFT 365 INSIDER

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?

Děkujeme vám za zpětnou vazbu.

×