Πώς μπορείτε να βεβαιωθείτε ότι χρησιμοποιείτε τον έλεγχο ταυτότητας Kerberos, όταν δημιουργείτε μια απομακρυσμένη σύνδεση με μια εμφάνιση του SQL Server 2005

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:909801
ΕΙΣΑΓΩΓΗ
Αυτό το άρθρο περιγράφει τον τρόπο για να βεβαιωθείτε ότι χρησιμοποιείτε τον έλεγχο ταυτότητας Kerberos ως μέθοδο ελέγχου ταυτότητας των Microsoft Windows όταν δημιουργείτε μια απομακρυσμένη σύνδεση με μια εμφάνιση του Microsoft SQL Server 2005.
Περισσότερες πληροφορίες
SQL Server 2005 υποστηρίζει τον έλεγχο ταυτότητας Kerberos έμμεσα μέσω του Windows ασφαλείας υποστήριξη υπηρεσίας παροχής διασύνδεσης (SSPI) όταν χρησιμοποιείται ο ενσωματωμένος έλεγχος ταυτότητας των Windows αντί για τον έλεγχο ταυτότητας SQL. Ωστόσο, SQL Server μόνο θα χρησιμοποιήσει τον έλεγχο ταυτότητας Kerberos, υπό ορισμένες συνθήκες όταν ο SQL Server να χρησιμοποιήσετε SSPI για τη διαπραγμάτευση του πρωτοκόλλου ελέγχου ταυτότητας που θα χρησιμοποιηθεί. Εάν ο SQL Server δεν μπορούν να χρησιμοποιήσουν το πρωτόκολλο Kerberos χρησιμοποιεί τον έλεγχο ταυτότητας Windows NTLM ελέγχου ταυτότητας. Για λόγους ασφαλείας, συνιστάται να χρησιμοποιείτε τον έλεγχο ταυτότητας Kerberos αντί για τον έλεγχο ταυτότητας NTLM. Οι διαχειριστές και οι χρήστες θα πρέπει να γνωρίζετε πώς να βεβαιωθείτε ότι χρησιμοποιούν τον έλεγχο ταυτότητας Kerberos για απομακρυσμένες συνδέσεις.

Για να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos, θα πρέπει να βεβαιωθείτε ότι ισχύουν όλες οι ακόλουθες συνθήκες:
  • Τόσο ο διακομιστής όσο και οι υπολογιστές-πελάτες πρέπει να είναι μέλη του ίδιου τομέα των Windows ή μέλη αξιόπιστων τομέων.
  • Κύριο όνομα υπηρεσίας στο διακομιστή (SPN) πρέπει να καταχωρηθεί στην υπηρεσία καταλόγου Active Directory.
  • Η παρουσία του SQL Server 2005 πρέπει να ενεργοποιήσετε το πρωτόκολλο TCP/IP πρωτόκολλο.
  • Ο υπολογιστής-πελάτης πρέπει να συνδέσετε την παρουσία του SQL Server 2005, χρησιμοποιώντας το πρωτόκολλο TCP/IP. Για παράδειγμα, μπορείτε να τοποθετήσετε το πρωτόκολλο TCP/IP στην κορυφή της σειρά πρωτοκόλλων στον υπολογιστή-πελάτη. Ή μπορείτε να προσθέσετε το πρόθεμα "tcp:" στη συμβολοσειρά σύνδεσης για να καθορίσετε ότι η σύνδεση θα χρησιμοποιήσει το πρωτόκολλο TCP/IP.

Με τον τρόπο καταχώρησης ενός SPN σε έναν τομέα

Όταν καταχωρείτε ένα SPN για μια υπηρεσία του SQL Server, ουσιαστικά Δημιουργήστε μια αντιστοίχιση μεταξύ ενός SPN και τα Windows λογαριασμού που ξεκίνησε η υπηρεσία παρουσία διακομιστή.

Πρέπει να καταχωρήσετε το SPN, επειδή ο υπολογιστής-πελάτης πρέπει να χρησιμοποιήσει ένα καταχωρημένων SPN για τη σύνδεση με την περίοδο λειτουργίας του διακομιστή. Συντάσσεται το SPN, χρησιμοποιώντας το όνομα υπολογιστή του διακομιστή και τη θύρα TCP/IP. Εάν δεν καταχωρήσετε το SPN, το SSPI δεν μπορεί να προσδιορίσει το λογαριασμό που σχετίζεται με το SPN. Επομένως, Ο έλεγχος ταυτότητας Kerberos δεν θα χρησιμοποιηθούν.

Όταν ο SQL Server εκτελείται υπό τον λογαριασμό τοπικού συστήματος ή κάτω από ένα λογαριασμό διαχειριστή τομέα, η παρουσία θα αυτόματα καταχωρήσετε το SPN με την εξής μορφή, όταν ξεκινήσει η περίοδος λειτουργίας:
MSSQLSvc /FQDN:tcpport
ΣΗΜΕΙΩΣΗFQDNείναι το έγκυρο όνομα τομέα του διακομιστή.tcpportείναι ο αριθμός θύρας TCP/IP.

Επειδή ο αριθμός θύρας TCP περιλαμβάνεται σε το SPN, SQL Server πρέπει να ενεργοποιήσετε το πρωτόκολλο TCP/IP για να συνδεθείτε χρησιμοποιώντας τον έλεγχο ταυτότητας Kerberos χρήστη. Τους ίδιους κανόνες ισχύουν για ρυθμίσεις παραμέτρων του συμπλέγματος. Επιπλέον, εάν η παρουσία καταχωρηθεί αυτόματα ενός SPN κατά την έναρξη της περιόδου λειτουργίας, το SPN θα καταχωρηθεί αυτόματα όταν διακόπτεται η περίοδος λειτουργίας.

Only a domain administrator account or the local system account has the required permissions to register an SPN. Therefore, if the SQL Server service is started under a non-administrator account, SQL Server cannot register the SPN for the instance. This behavior will not prevent the instance from starting. However, the following message will be logged in the Application log of the Windows event log:

Τύπος συμβάντος: πληροφορίες
Event Source: MSSQL$Όνομα_παρουσίας
Event Category: (2)
Event ID: 26037
Ημερομηνία:Ημερομηνία
Ώρα:Ώρα
Χρήστης: δ/Υ
Computer:computerName
Περιγραφή:
The SQL Network Interface library could not register the Service Principal Name (SPN) for the SQL Server service. Error: 0x54b. Failure to register an SPN may cause integrated authentication to fall back to NTLM instead of Kerberos. This is an informational message. Further action is only required if Kerberos authentication is required by authentication policies.
For more information, see Help and Support Center at http://support.microsoft.com.

If this message is logged, you must manually register the SPN for the instance under a domain administrator account to use Kerberos authentication. To register the SPN, you can use the SetSPN.exe tool that is included with the Microsoft Windows 2000 Server Resource Kit. This tool is also included with the Microsoft Windows Server 2003 Support Tools. The Windows Server 2003 Support Tools are included in Microsoft Windows Server 2003 Service Pack 1 (SP1).

For more information about how to obtain the Windows Server 2003 Service Pack 1 Support Tools, click the following article number to view the article in the Microsoft Knowledge Base:
892777Εργαλεία υποστήριξης (Support Tools) για το Windows Server 2003 Service Pack 1
You can use a command that is similar to the following to register an SPN for an instance:
SetSPN –A MSSQLSvc/<computername>.<domainname>:1433 <accountname></accountname></domainname></computername>
ΣΗΜΕΙΩΣΗIf an SPN already exists, you must delete the SPN before you can reregister it. You may have to do this if the account mapping has changed. To deleted an existing SPN, you can use the SetSPN.exe tool together with the-DΔιακόπτης.

How to make sure that you are using Kerberos authentication

After you connected to an instance of SQL Server 2005, run the following Transact-SQL statement in SQL Server Management Studio:
select auth_scheme from sys.dm_exec_connections where session_id=@@spid
If SQL Server is using Kerberos authentication, a character string that is listed as "KERBEROS" appears in the auth_scheme column in the result window.
Αναφορές
Για περισσότερες πληροφορίες, ανατρέξτε στα ακόλουθα θέματα σεMicrosoft SQL Server 2005 Books Online:
  • Καταχώρηση της υπηρεσίας κύριο όνομα
  • How to enable Kerberos authentication including SQL Server virtual servers on server clusters

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Vlastnosti

ID článku: 909801 - Poslední kontrola: 12/24/2010 13:37:00 - Revize: 2.0

Microsoft SQL Server 2005 Standard Edition, Microsoft SQL Server 2005 Developer Edition, Microsoft SQL Server 2005 Enterprise Edition, Microsoft SQL Server 2005 Workgroup Edition, Microsoft SQL Server 2005 Express Edition

  • kbsql2005connect kbinfo kbmt KB909801 KbMtel
Váš názor