Herstellen einer Verbindung zu einer Instanz von SQL Server eine anonyme Anmeldung mit möglicherweise nicht

Wichtig Dieser Artikel enthält Informationen dazu, wie Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfunktionen auf einem Computer deaktivieren können. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Bevor Sie diese Änderungen vornehmen, empfehlen wir, dass Sie die Risiken abschätzen, die mit dieser Problemumgehung in Ihrer speziellen Umgebung verbunden sind. Wenn Sie diese Problemlösung implementieren, führen Sie alle entsprechenden zusätzlichen Schritte durch, um Ihr System zu schützen.

Zusammenfassung

Wenn Sie die NT-AUTORITÄT\ANONYMOUS-Anmeldung die Instanz von Microsoft SQL Server 2000 oder Microsoft SQL Server 2005 hinzufügen, damit die Instanz von SQL Server eine anonyme Anmeldung über Microsoft Windows Integrated Security akzeptiert versuchen, die Instanz von SQL Server als anonymer Benutzer herstellen, der Verbindungsversuch möglicherweise nicht erfolgreich und möglicherweise die folgende Fehlermeldung angezeigt :
Fehler bei der Anmeldung für den Benutzer (null). Grund: Nicht vertrauenswürdige SQL Server-Verbindung zugeordnet.
Darüber hinaus wird das folgende Ereignis im Systemereignisprotokoll protokolliert:
Typ: Fehler
Quelle: LsaSrv

Kategorie: keine
Ereignis-ID: 6033
Datum: < Datum >

Zeit: < Uhrzeit >
Benutzer: nicht vorhanden
Computer: < Computername >

Beschreibung

Eine anonyme Sitzung verbunden von < Computername > hat versucht, ein Handle LSA-Richtlinie auf dem Computer öffnen. Die abgelehnt wurde mit STATUS_ACCESS_DENIED auslaufenden sicherheitskritischen Informationen anonymer Aufrufer verhindern.

Die Anwendung, die versucht, diese muss korrigiert werden. Wenden Sie sich an den Hersteller der Anwendung. Als vorübergehende Lösung diese Sicherheitsmaßnahme deaktiviert werden kann, indem die
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD-Wert 1.
Dieses Problem tritt auf, wenn alle folgenden Punkte zutreffen:
  • Die Instanz von SQL Server ist auf einem Computer installiert, auf dem Microsoft Windows Server 2003 ausgeführt wird.
  • Der Computer mit SQL Server-Instanz ist ein Mitgliedsserver in einer Domäne.
  • Der Registrierungswert " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock" fehlt oder ist nicht auf 1 festgelegt ist.
  • Die Netzwerkzugriff: anonyme SID-Name Übersetzung ermöglichen auf dem Computer mit SQL Server-Instanz ist nicht aktiviert.

Ursache

Wenn Sie versuchen, die Instanz von SQL Server als anonymer Benutzer herstellen, versucht anonyme Verbindung Handle LSA-Richtlinie auf dem Computer öffnen, die Instanz von SQL Server ausgeführt wird. Standardmäßig wird ein Windows Server 2003-Mitgliedsserver eine anonyme Verbindung, die versucht, einen Handle LSA-Richtlinie zu öffnen, wenn der Registrierungswert " TurnOffAnonymousBlock " nicht auf 1 festgelegt ist. Daher ist die anonyme Verbindung nicht erfolgreich. Nachdem SQL Server die anonyme verbindungsanforderung empfängt, ruft SQL Server zusätzlich LookupAccountSid Windows API-Funktion zum Abrufen des Namens des Kontos. Da die Funktion im Kontext des anonymen Verbindung aufgerufen wird, der Funktionsaufruf ebenfalls fehl, wenn die Netzwerkzugriff: anonyme SID-Name Übersetzung ermöglichen Sicherheit ist nicht aktiviert.

PROBLEMUMGEHUNG

Warnung Diese Abhilfe kann Ihren Computer oder Ihr Netzwerk anfälliger für Angriffe durch böswillige Benutzer oder gefährliche Software wie etwa Viren. Wir empfehlen diese Problemumgehung nicht, stellen jedoch diese Informationen bereit, damit Sie diese Option nach eigenem Ermessen anwenden können. Verwenden Sie diese Problemumgehung auf eigene Verantwortung.

Um dieses Problem zu umgehen, auf Windows Server 2003 anonymen Verbindungen zu SQL Server 2000 oder SQL Server 2005-Computer folgendermaßen Sie vor:
  1. Aktivieren der Netzwerkzugriff: anonyme SID-Name Übersetzung ermöglichen Sicherheitsoption in lokale Sicherheitsrichtlinie. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start, und klicken Sie dann auf
      Bedienfeld.
    2. Doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Lokale Sicherheitsrichtlinie.
    3. Im linken Bereich erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
    4. In der rechten Spalte Richtlinie suchen und doppelklicken Sie dann auf Netzwerkzugriff: anonyme SID-Name Übersetzung ermöglichen.
    5. In der Netzwerkzugriff: anonyme SID-Name Übersetzung ermöglichen klicken Sie auf die Option aktiviert , und klicken Sie dann auf OK.
    6. Schließen Sie auf Lokale Sicherheitsrichtlinie .
    7. Schließen Sie das Fenster Verwaltung .
  2. Setzen Sie den DWORD-Registrierungswert TurnOffAnonymousBlock auf 1. Gehen Sie hierzu folgendermaßen vor:

    Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    322756 zum Sichern und Wiederherstellen der Registrierung in Windows
    1. Klicken Sie auf Start, klicken Sie auf
      Ausführen, geben Sie regedit einund klicken Sie dann auf
      OK.
    2. Suchen Sie im Registrierungseditor und klicken Sie dann auf die
      Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa .
    3. Im rechten Bereich Suchen und doppelklicken Sie dann auf die
      TurnOffAnonymousBlock DWORD-Wert.

      Hinweis Wenn der TurnOffAnonymousBlock DWORD-Wert nicht vorhanden ist, müssen Sie den Registrierungswert erstellen.
    4. Klicken Sie im Dialogfeld DWORD-Wert bearbeiten Geben Sie 1 im Feld Wert , und klicken Sie auf OK.
    5. Schließen Sie Registrierungseditor und neu starten. Ein Neustart ist erforderlich für Änderungen an der Registrierung wirksam wird.
Hinweis Standardmäßig die Netzwerkzugriff: anonyme SID-Name Übersetzung ermöglichen Sicherheit aktiviert ist auf Computern, die als Domänencontroller fungieren. Allerdings ist die Sicherheitsoption auf Arbeitsstationen und Mitgliedsserver deaktiviert. Domänencontroller erfordern die
TurnOffAnonymousBlock -Registrierungsschlüssel anonyme Verbindung steuern versucht. Daher, wenn die Instanz von SQL Server auf einem Domänencontroller installiert ist, auf dem Windows Server 2003 ausgeführt wird, versucht anonyme Verbindung zur Instanz von SQL Server fallen.

Weitere Informationen

Auf einem Windows Server 2003-Computer werden Sicherheitskontrollen für anonyme Verbindung ausgeführt werden, die Zugriff auf den Computer versuchen strengere. Sie erstellen eine Microsoft ASP.NET Seite mit Windows-Authentifizierung und auf einem Webserver, die Microsoft-Internetinformationsdienste (IIS) 6.0 ausgeführt wird aber Benutzerkonten nicht delegieren, sind alle Verbindungsversuche mit einer Remoteinstanz von SQL Server auf ASP.NET im Sicherheitskontext des NT-AUTORITÄT\ANONYMOUS-Anmeldung. Die Instanz von SQL Server anonymen durch integrierte Sicherheit von Windows NT-AUTORITÄT\ANONYMOUS-Anmeldung als SQL Server-Benutzer hinzufügen und dem Benutzer die erforderlichen Berechtigungen erteilen annehmen können. Beim Hinzufügen von NT-AUTORITÄT\ANONYMOUS-Anmeldung Ihrer Instanz von SQL Server können anonyme Verbindung SQL Server Daten zugreifen, ohne alle Anmeldeinformationen.

Wichtig Wir empfehlen nicht anonymen Zugriff auf SQL Server. Alle Berechtigungen, die NT-AUTORITÄT\ANONYMOUS-Anmeldung gewährt werden, können von jedem Benutzer verwendet werden, die an den Computer anschließen können, auf dem SQL Server ausgeführt wird. Anonymen Zugriff auf die Instanz von SQL Server ermöglichen müssen, sollten nur Leseberechtigungen gewährt werden, NT-AUTORITÄT\ANONYMOUS-Anmeldung bei die SQL Server-Daten anzeigen, die öffentlich sichtbar sein soll. Zusätzlich empfehlen wir, dass SQL Server gespeicherten Prozeduren nur Execute-Berechtigungen gewährt werden, die eingeschränkte Vorgänge ausführen.

Anstatt die anonyme Verbindung zur Instanz von SQL Server können den erforderlichen Zugriff auf eine bestimmte SQL Server-Konto gewähren und übergeben die Anmeldeinformationen für den SQL Server-Konto in der Verbindungszeichenfolge auf ASP.NET. Mit SQL Server-Authentifizierung verhindert anonymen Verbindungsversuche mit der Instanz von SQL Server und sicherer.

Wenn die Netzwerkzugriff: anonyme SID-Name Übersetzung ermöglichen Sicherheitsoption auf Windows Server 2003-Computer aktiviert ist, können alle Benutzer, die einen Netzwerkanschluss am Computer die Namen für alle bekannten Identifikationen (SID) wie das Administratorkonto nachschlagen. Angreifer können diese Informationen mit dem Server herstellen, mit einer Methode wie das Erraten von Kennwörtern oder mit fehlgeschlagener Anmeldeversuche gesperrt.

Wenn den Wert der TurnOffAnonymousBlock -Registrierungswert auf 1 gesetzt, können anonyme Verbindung ein Handle für die Richtlinie für die lokale Sicherheitsautorität öffnen. Weitere Informationen zu der LSA-Richtlinie finden Sie auf der folgenden MSDN-Websites:

Referenzen

Weitere Informationen zur Problembehandlung von Konnektivitätsproblemen in SQL Server 2000 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
827422: beheben Behandlung von Konnektivitätsproblemen in SQL Server 2000

Klicken Sie für Weitere Informationen auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
247931 -Authentifizierungsmethoden für Verbindungen zu SQL Server in Active Server Pages

Eigenschaften

Artikelnummer: 839569 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback