Τρόπος για να βεβαιωθείτε ότι χρησιμοποιείτε τον έλεγχο ταυτότητας Kerberos, όταν δημιουργείτε μια απομακρυσμένη σύνδεση σε μια παρουσία του SQL Server 2005

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιγράφει τον τρόπο για να βεβαιωθείτε ότι χρησιμοποιείτε τον έλεγχο ταυτότητας Kerberos ως μέθοδο ελέγχου ταυτότητας των Microsoft Windows όταν δημιουργείτε μια απομακρυσμένη σύνδεση σε μια παρουσία του Microsoft SQL Server 2005.

Περισσότερες πληροφορίες

SQL Server 2005 υποστηρίζει τον έλεγχο ταυτότητας Kerberos έμμεσα μέσω του Windows ασφαλείας υποστήριξη παροχής διασύνδεσης (SSPI) κατά τη χρήση του ενσωματωμένου ελέγχου ταυτότητας των Windows αντί για τον έλεγχο ταυτότητας SQL. Ωστόσο, SQL Server θα χρησιμοποιήσουν μόνο τον έλεγχο ταυτότητας Kerberos σε ορισμένες περιπτώσεις όταν ο SQL Server να χρησιμοποιήσετε SSPI για διαπραγμάτευση του πρωτοκόλλου ελέγχου ταυτότητας για να χρησιμοποιήσετε. Εάν ο SQL Server δεν είναι δυνατό να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos, τα Windows θα χρησιμοποιήσουν τον έλεγχο ταυτότητας NTLM. Για λόγους ασφαλείας, συνιστάται να χρησιμοποιείτε τον έλεγχο ταυτότητας Kerberos αντί για τον έλεγχο ταυτότητας NTLM. Οι διαχειριστές και οι χρήστες θα πρέπει να γνωρίζετε τον τρόπο για να βεβαιωθείτε ότι χρησιμοποιούν τον έλεγχο ταυτότητας Kerberos για απομακρυσμένες συνδέσεις.

Για να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos, βεβαιωθείτε ότι ισχύουν όλες οι ακόλουθες συνθήκες:
  • Ο διακομιστής και οι υπολογιστές-πελάτες πρέπει να είναι μέλη του ίδιου τομέα των Windows ή μέλη αξιόπιστων τομέων.
  • Κύριο όνομα υπηρεσίας στο διακομιστή (SPN) πρέπει να καταχωρηθεί στην υπηρεσία καταλόγου Active Directory.
  • Η παρουσία του SQL Server 2005 πρέπει να ενεργοποιήσετε το πρωτόκολλο TCP/IP.
  • Ο υπολογιστής-πελάτης πρέπει να συνδεθείτε στην παρουσία του SQL Server 2005, χρησιμοποιώντας το πρωτόκολλο TCP/IP. Για παράδειγμα, μπορείτε να τοποθετήσετε το πρωτόκολλο TCP/IP στην κορυφή της σειρά πρωτοκόλλων του υπολογιστή-πελάτη. Ή μπορείτε να προσθέσετε το πρόθεμα "tcp:" στη συμβολοσειρά σύνδεσης για να καθορίσετε ότι η σύνδεση θα χρησιμοποιήσει το πρωτόκολλο TCP/IP.

Τρόπος καταχώρησης ενός SPN σε έναν τομέα

Όταν καταχωρείτε ένα SPN για μια υπηρεσία του SQL Server, ουσιαστικά Δημιουργήστε μια αντιστοίχιση μεταξύ ενός SPN και το λογαριασμό των Windows που ξεκίνησε η υπηρεσία παρουσία διακομιστή.

Πρέπει να καταχωρήσετε το SPN, επειδή ο υπολογιστής-πελάτης πρέπει να χρησιμοποιήσει ένα καταχωρημένων SPN για τη σύνδεση με την περίοδο λειτουργίας του διακομιστή. Αποτελείται το SPN, χρησιμοποιώντας το όνομα υπολογιστή του διακομιστή και τη θύρα TCP/IP. Εάν δεν καταχωρήσετε το SPN, το SSPI δεν μπορεί να προσδιορίσει το λογαριασμό που σχετίζεται με το SPN. Επομένως, ο έλεγχος ταυτότητας Kerberos δεν θα χρησιμοποιηθούν.


Όταν ο SQL Server εκτελείται υπό το λογαριασμό τοπικό σύστημα ή σε ένα λογαριασμό διαχειριστή τομέα, η περίοδος λειτουργίας θα αυτόματα δηλώσει το SPN με την εξής μορφή, όταν ξεκινήσει η περίοδος λειτουργίας:
MSSQLSvc/FQDN:tcpport
Σημείωση FQDN είναι το πλήρως προσδιορισμένο όνομα τομέα του διακομιστή. tcpport είναι ο αριθμός θύρας TCP/IP.

Επειδή ο αριθμός θύρας TCP περιλαμβάνεται σε το SPN, SQL Server πρέπει να ενεργοποιήσετε το πρωτόκολλο TCP/IP για ένα χρήστη για να συνδεθείτε χρησιμοποιώντας τον έλεγχο ταυτότητας Kerberos. Οι ίδιοι κανόνες ισχύουν για ρυθμίσεις παραμέτρων του συμπλέγματος. Επιπλέον, εάν η παρουσία καταχωρηθεί αυτόματα ενός SPN κατά την εκκίνηση της παρουσίας, το SPN θα καταχωρηθεί αυτόματα όταν διακόπτεται η περίοδος λειτουργίας.

Μόνο ένα λογαριασμό διαχειριστή τομέα ή ο λογαριασμός τοπικού συστήματος έχει τα απαιτούμενα δικαιώματα για να καταχωρήσετε ένα κύριο όνομα Υπηρεσίας. Επομένως, εάν έχει ξεκινήσει η υπηρεσία SQL Server σε ένα λογαριασμό χωρίς δικαιώματα διαχειριστή, SQL Server δεν είναι δυνατό να δηλώσει το SPN για την παρουσία. Αυτή η συμπεριφορά δεν θα εμποδίσει την παρουσία εκκίνηση. Ωστόσο, θα καταγραφεί το ακόλουθο μήνυμα στο αρχείο καταγραφής εφαρμογής του αρχείου καταγραφής συμβάντων των Windows: Εάν αυτό το μήνυμα έχει συνδεθεί, πρέπει να καταχωρήσετε με μη αυτόματο τρόπο το SPN για την παρουσία σε ένα λογαριασμό διαχειριστή τομέα για να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos. Για να καταχωρήσετε το SPN, μπορείτε να χρησιμοποιήσετε το εργαλείο SetSPN.exe που περιλαμβάνεται στα Microsoft Windows 2000 Server Resource Kit. Αυτό το εργαλείο περιλαμβάνεται επίσης στα εργαλεία υποστήριξης των Microsoft Windows Server 2003. Τα εργαλεία υποστήριξης του Windows Server 2003 περιλαμβάνονται στο Microsoft Windows Server 2003 Service Pack 1 (SP1).


Για περισσότερες πληροφορίες σχετικά με τον τρόπο απόκτησης εργαλείων Service Pack 1 υποστήριξη του Windows Server 2003, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

892777 των Windows Server 2003 Service Pack 1 υποστήριξη εργαλεία

Μπορείτε να χρησιμοποιήσετε μια εντολή παρόμοια με την ακόλουθη καταχώρηση ενός SPN για μια περίοδο λειτουργίας:
SetSPN – A MSSQLSvc / < όνομα_υπολογιστή >. < Όνομα_τομέα >: 1433 < όνομα λογαριασμού >
Σημείωση Εάν υπάρχει ήδη ένα SPN, πρέπει να διαγράψετε το SPN, πριν να μπορείτε να την επαναλάβετε. Ίσως χρειαστεί να το κάνετε αυτό αν έχει αλλάξει η αντιστοίχιση λογαριασμού. Για να διαγράψετε υπάρχοντα SPN, μπορείτε να χρησιμοποιήσετε το εργαλείο SetSPN.exe μαζί με το διακόπτη -D .

Τρόπος για να βεβαιωθείτε ότι χρησιμοποιείτε τον έλεγχο ταυτότητας Kerberos

Μετά τη σύνδεση σε μια παρουσία του SQL Server 2005, εκτελέστε την ακόλουθη πρόταση Transact-SQL στο SQL Server Management Studio:
select auth_scheme from sys.dm_exec_connections where session_id=@@spid
Εάν ο SQL Server χρησιμοποιεί τον έλεγχο ταυτότητας Kerberos, μια συμβολοσειρά χαρακτήρων που αναγράφεται ως "KERBEROS" εμφανίζεται στη στήλη "auth_scheme" στο παράθυρο αποτελεσμάτων.

Αναφορές

Για περισσότερες πληροφορίες, ανατρέξτε στα ακόλουθα θέματα της Microsoft SQL Server 2005 Books Online:
  • Καταχώρηση της υπηρεσίας κύριο όνομα
  • Τρόπος ενεργοποίησης του ελέγχου ταυτότητας Kerberos, συμπεριλαμβανομένων των εικονικών διακομιστών SQL Server σε συμπλέγματα διακομιστών
Ιδιότητες

Αναγνωριστικό άρθρου: 909801 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια