Αντιμετώπιση προβλημάτων αποτυχίες ελέγχου ταυτότητας λόγω ζητημάτων Kerberos

Εργαστείτε οπουδήποτε από οποιαδήποτε συσκευή με το Microsoft 365

Αναβαθμίστε σε Microsoft 365 για να εργαστείτε οπουδήποτε με τις πιο πρόσφατες δυνατότητες και ενημερώσεις.

Αναβάθμιση τώρα

Αποτυχίες ελέγχου ταυτότητας Kerberos μπορεί να συμβεί λόγω πολλούς λόγους. Τις κύριες αιτίες και αντίστοιχες λύσεις επισημαίνονται παρακάτω:

Τύπος θέματος

Προτεινόμενες λύσεις

Θέματα SPN:

  • Λείπει το SPN: SPN δεν έχει καταχωρηθεί στην υπηρεσία καταλόγου Active directory

  • Εσφαλμένες καταχωρήσεις SPN: SPN υπάρχει, αλλά ο αριθμός θύρας είναι εσφαλμένο ή υπάρχει σε έναν διαφορετικό λογαριασμό, εκτός από το λογαριασμό της υπηρεσίας SQL.

  • Διπλότυπα SPN: Το ίδιο SPN που υπάρχει σε πολλούς λογαριασμούς στην υπηρεσία καταλόγου active directory

Επιλέξτε "χρήση του Kerberos Configuration manager για τη διάγνωση και διόρθωση ζητημάτων SPN και την αντιπροσώπευση" της επόμενης παραγράφου για να διαγνώσετε και να επιλύσετε ζητήματα SPN. Σημείωση: Για την σε βάθος κατανόηση του SPN, Kerberos και άλλων σχετικών εννοιών Διαβάστε τις πληροφορίες στο ακόλουθο άρθρο της Γνωσιακής Βάσης: Πώς μπορείτε να αντιμετωπίσετε το μήνυμα λάθους "Δεν είναι δυνατή η δημιουργία περιβάλλοντος SSPI"

Οι λογαριασμοί υπηρεσίας SQL δεν είναι αξιόπιστο για αντιπροσώπευση. Αν χρησιμοποιείτε τοπικό λογαριασμό συστήματος, το μεσαίο διακομιστή πρέπει να είναι αξιόπιστος για αντιπροσώπευση στην υπηρεσία καταλόγου active directory

Διαχείριση ομάδας παραμέτρων UseKerberos καρτέλα ανάθεση για να επιβεβαιώσετε και να συνεργαστείτε με το διαχειριστή της υπηρεσίας καταλόγου Active directory για να ενεργοποιήσετε την αντιπροσώπευση για το λογαριασμό. Ελέγξτε τη "χρήση του Kerberos Configuration manager για τη διάγνωση και διόρθωση ζητημάτων SPN και την αντιπροσώπευση" για λεπτομέρειες της επόμενης παραγράφου

Ανάλυση εσφαλμένο όνομα: το όνομα του διακομιστή ενδέχεται να επιλύει μια διαφορετική διεύθυνση IP από αυτό καταχωρείται από διακομιστή DNS του δικτύου σας.

ping - a < your_target_machine > (Χρησιμοποιήστε -4 και -6 IPv4 και IPv6 ειδικά) ping - a < Your_remote_IPAddress > nslookup (πληκτρολογήστε το όνομα του τοπικού και απομακρυσμένου υπολογιστή και διεύθυνση IP πολλές φορές) Αναζητήστε τυχόν διαφορές και διαφορές σχετικά με τα αποτελέσματα που επιστρέφονται. Η ορθότητα των παραμέτρων DNS στο δίκτυο είναι ζωτικής σημασίας για τη σύνδεση SQL. Εσφαλμένη καταχώρηση DNS θα μπορούσε να προκαλέσει κάθε είδους ζήτημα συνδεσιμότητας αργότερα. Αυτήν τη σύνδεση για ένα παράδειγμα, ανατρέξτε στην ενότητα "δεν είναι δυνατή η δημιουργία SSPI περιβάλλον" μήνυμα λάθους, σημάνθηκαν DNS.

Τα τείχη προστασίας ή άλλες συσκευές δικτύου επιτρέπει συνδέσεις από τον υπολογιστή-πελάτη με τον ελεγκτή τομέα: SPN είναι αποθηκευμένα στον κατάλογο active directory και αν οι υπολογιστές-πελάτες δεν είναι δυνατό να επικοινωνήσει με το AD, η σύνδεση δεν μπορεί να συνεχιστεί περαιτέρω).

Ελέγξτε τις ακόλουθες συνδέσεις για περισσότερες πληροφορίες

Σημείωση

  1. Όταν ξεκινά μια παρουσία του ο μηχανισμός βάσης δεδομένων του SQL Server, SQL Server προσπαθεί να δηλώσει το SPN για την υπηρεσία SQL Server. Όταν διακοπεί η παρουσία, SQL Server προσπαθεί να unregister το SPN. Για να συμβεί αυτό, ο λογαριασμός της υπηρεσίας SQL πρέπει ReadServicePrincipalName και WriteServicePrincipalName δικαιωμάτων στην υπηρεσία καταλόγου active directory. Ωστόσο, εάν ο λογαριασμός υπηρεσίας δεν έχει αυτά τα δικαιώματα, η αυτόματη καταχώρηση SPN δεν συμβεί και θα πρέπει να συνεργαστείτε με το διαχειριστή της υπηρεσίας καταλόγου Active Directory για να καταχωρήσετε για τις παρουσίες του SQL, για να ενεργοποιήσετε τον έλεγχο ταυτότητας Kerberos. Σε αυτό το σενάριο, εάν χρησιμοποιείτε μια περίοδο λειτουργίας με όνομα, θα είναι πιο εύκολο να χρησιμοποιήσετε μια στατική θύρα για τη συγκεκριμένη παρουσία. Εάν χρησιμοποιείτε δυναμικές θύρες, ο αριθμός θύρας να αλλάξετε κάθε φορά που γίνεται επανεκκίνηση της υπηρεσίας και το με μη αυτόματο τρόπο καταχωρημένων SPN για την παρουσία δεν ισχύει πλέον. Για περισσότερες πληροφορίες, ανατρέξτε στα ακόλουθα θέματα στα ηλεκτρονικά βιβλία του SQL Server: Καταχωρήστε ένα κύριο όνομα υπηρεσίας για συνδέσεις Kerberos

  2. Σε περιβάλλοντα όπου SQL είναι συμπλέγματος αυτόματη καταχώρηση των κύριων ονομάτων υπηρεσίας δεν συνιστάται, επειδή ενδέχεται να χρειαστούν περισσότερο χρόνο για να καταργήσετε την καταχώρηση του SPN και r-μητρώο το SPN στην υπηρεσία καταλόγου Active directory από το χρόνο που απαιτείται για SQL για να συνδεθεί. Εάν η καταχώρηση SPN δεν συμβεί σε χρόνο, αυτό μπορεί να αποτρέψουν SQL ηλεκτρονική επειδή ο διαχειριστής συμπλέγματος δεν είναι δυνατό να συνδεθείτε με τον SQL server.

Χρησιμοποιώντας τη Διαχείριση παραμέτρων Kerberos για τη διάγνωση και διόρθωση ζητημάτων SPN και την αντιπροσώπευση

  1. Κάντε λήψη Διαχείριση ρύθμισης παραμέτρων του Microsoft® Kerberos για SQL Server® και να το εγκαταστήσετε σε έναν υπολογιστή-πελάτη.

  2. Εκκίνηση του εργαλείου χρησιμοποιώντας ένα λογαριασμό τομέα, κατά προτίμηση με ένα λογαριασμό που διαθέτει επαρκή δικαιώματα για να δημιουργήσετε κύρια ονόματα υπηρεσίας στην υπηρεσία καταλόγου active directory. Δείτε την παρακάτω εικόνα:

    KerberosConfigManager

  3. Συνδεθείτε με τον SQL Server που θέλετε να συλλέξετε το Kerberos σφάλμα σχετικές πληροφορίες:

    ConnectKerberosConfigManager

  4. Αφού συνδεθείτε, μπορείτε να δείτε διάφορες καρτέλες, όπως φαίνεται παρακάτω:

    Σύστημα: έχει τις βασικές πληροφορίες του συστήματος. KerConfigManager_System

    SPN:Δίνει το SPN πληροφορίες σχετικά με τις παρουσίες του κάθε παρουσία SQL που βρέθηκαν στο διακομιστή προορισμού και παρέχει διάφορες επιλογές, όπως η παρακάτω. Χρησιμοποιήστε αυτήν την καρτέλα για να βρείτε το λείπει ή εσφαλμένες ρυθμίσεις SPN και τα κουμπιά δημιουργία ή ενημέρωση κώδικα για να διορθώσετε αυτά τα ζητήματα. KerConfigManager_SPN

    • Δημιουργίαεπιλογή θα σας επιτρέψει να δημιουργήσετε τη δέσμη ενεργειών δημιουργίας SPN. Κάνοντας κλικ στο Δημιουργία κουμπί γεμίζει η απενεργοποίηση το ακόλουθο παράθυρο διαλόγου: KerConfigManager_GenerateSPN

      Αυτή η επιλογή δημιουργεί αρχείο cmd που μπορούν να εκτελεστούν από τη γραμμή εντολών για να δημιουργήσετε το SPN.

      Το generateSPNs, το περιεχόμενο θα είναι παρόμοιο με το ακόλουθο:

                          :: This script is generated by the Microsoft(c) SQL Server(c) Kerberos Configuration Manager tool.
      :: The script may update the system information, SPN settings and Delegation configurations of a given server.
      :: SPN and Delegation configuration updates require Windows Domain Administrator permission to execute.
      :: A Domain Admin should review the configurations recommended by this tool and take appropriate actions to enable Kerberos authentication.
      :: Please contact Microsoft Support if Kerberos connection problem persists.
      :: The file is intended to be run in domain "<DomainName>.com"
      :: Corrections for MSSQLSvc/<HostName>.<DomainName>.com
      SetSPN -s MSSQLSvc/<HostName>.<DomainName>.com UserName

      Απλά, χρησιμοποιεί την επιλογή SetSPN για να δημιουργήσετε ένα SPN στο λογαριασμό της υπηρεσίας για τον SQL Server.

    • Η επιλογή Διόρθωση προσθέτει το SPN για όσο διάστημα έχει το δικαίωμα να προσθέσετε το SPN και εμφανίζει την ακόλουθη συμβουλή εργαλείου:

      KerbConfigManager_Fix 

      Σημείωση

      Το εργαλείο παρέχει μόνο η επιδιόρθωση και δημιουργία επιλογές για προεπιλεγμένες περιόδους λειτουργίας και επώνυμη παρουσίες με στατικές θύρες. Χρήση δυναμικής θύρας με όνομα εμφανίσεις, η σύσταση είναι να μεταβείτε από δυναμικό σε στατικές θύρες ή να δώσετε τα κατάλληλα δικαιώματα για το λογαριασμό της υπηρεσίας για να καταχωρήσετε και καταργήστε το SPN κάθε φορά που ξεκινά η υπηρεσία. Διαφορετικά, πρέπει να με μη αυτόματο τρόπο, καταργήσετε την καταχώρηση και να καταχωρήσετε ξανά τα αντίστοιχα SPN κάθε φορά που ξεκινά η υπηρεσία SQL.

    • Καρτέλα ανάθεση: καρτέλα αναγνωρίζει οποιαδήποτε προβλήματα με τη ρύθμιση παραμέτρων του λογαριασμού υπηρεσίας για αντιπροσώπευση. Αυτό είναι ιδιαίτερα χρήσιμο κατά την αντιμετώπιση προβλημάτων που συνδέονται προβλήματα με το διακομιστή. Για παράδειγμα, εάν τα SPN αναλάβετε τον έλεγχο ακριβείας, αλλά αν εξακολουθεί να βρεθείτε σε θέματα με συνδεδεμένο διακομιστή ερωτημάτων αυτό ήταν δυνατό να ένδειξη ότι ο λογαριασμός υπηρεσίας δεν ρυθμιστεί να μεταβιβάζει τα διαπιστευτήρια. Για πρόσθετες πληροφορίες, ανατρέξτε στο θέμα ηλεκτρονικά βιβλία κατά Τη ρύθμιση παραμέτρων συνδεδεμένους διακομιστές για αντιπροσώπευση.

      KerbConfigManger_Delegation 

  5. Αφού διορθώσετε το SPN, εκτελέστε ξανά το εργαλείο Διαχείριση ρύθμισης παραμέτρων Kerberos, και εξασφαλίζει το κύριο όνομα Υπηρεσίας και την αντιπροσώπευση καρτέλες δεν είναι πλέον αναφορά μηνύματα σφάλματος και επαναλάβετε τη σύνδεση από την εφαρμογή σας.

Για πρόσθετες πληροφορίες, ανατρέξτε στις ακόλουθες συνδέσεις:

Έλυσε το πρόβλημά σας;

Χρειάζεστε περισσότερη βοήθεια;

Αναπτύξτε τις δεξιότητές σας
Εξερευνήστε το περιεχόμενο της εκπαίδευσης
Αποκτήστε πρώτοι τις νέες δυνατότητες
Συμμετοχή στο Microsoft Insider

Σας βοήθησαν αυτές οι πληροφορίες;

Σας ευχαριστούμε για τα σχόλιά σας!

Σας ευχαριστούμε για τα σχόλιά σας! Φαίνεται ότι μπορεί να είναι χρήσιμο να συνδεθείτε με έναν από τους συνεργάτες υποστήριξης του Office.

×