Autentifikācijas kļūmes dēļ Kerberos problēmas novēršana

Kerberos autentifikācijas kļūmes var rasties dažādu iemeslu dēļ. Galvenie cēloņi un risinājumi atbilstošo norādīti turpmāk:

Jautājuma tips

Ieteicamie risinājumi

SPN problēmas:

  • Trūkst SPN: SPN nav reģistrēta pakalpojumā Active directory

  • Nepareizi ieraksti SPN: SPN pastāv, bet porta numurs ir nepareizs vai tā pastāv citā kontā, nevis SQL pakalpojuma kontu.

  • Dublēti SPNs: Pašu SPN pastāv vairāki konti pakalpojumā active directory

Pārbaudiet "uz SPN un deleģēšana problēmu diagnosticēšana un labošana, izmantojot Kerberos konfigurācijas pārvaldnieks" šādu rindkopu, lai diagnosticētu un novērstu SPN problēmas. Piezīme: Par dziļuma SPN, Kerberos un citas saistītās koncepcijas, pārskatiet informāciju šajā zināšanu bāzes rakstā: Kā novērst kļūdas ziņojumu "Nevar izveidot SSPI kontekstā"

SQL pakalpojuma kontu deleģēšanai nav uzticams. Ja izmantojat lokālās sistēmas kontu, vidū servera jābūt uzticamo deleģēšanai pakalpojumā active directory

UseKerberos konfigurācijas pārvaldnieks deleģēšana tab, lai apstiprinātu un strādāt ar Active directory administrators, lai iespējotu deleģēšana konta. Meklējiet informāciju šādu rindkopu "uz SPN un deleģēšana problēmu diagnosticēšana un labošana, izmantojot Kerberos konfigurācijas pārvaldnieks"

Nepareiza nosaukuma atrise: servera nosaukumu var atrisināt uz citu IP adresi, nekā tīkla DNS serveris, kas reģistrēta.

ping - < your_target_machine > (izmantot -4 un -6 IPv6 un IPv4 īpaši) ping - < Your_remote_IPAddress > nslookup (ierakstiet lokālā un attālā datora nosaukumu un IP adresi vairākas reizes) Meklēt jebkuru neatbilstību un neatbilstības rezultātus atpakaļ. DNS konfigurēšana tīklā pareizību ir svarīgi SQL savienojums. Nepareizi DNS ierakstu var izraisīt savienojamības problēmas visu veidu vēlāk. Skatiet šo saiti, piemēram, "nevar izveidot SSPI Context" kļūdas ziņojums, saindējas DNS.

Ugunsmūris vai citi tīkla ierīces, kas neļauj no klienta savienojumu ar domēna kontrolleri: SPN tiek glabātas active directory un ja klienti nevar sazināties ar AD, savienojumu nevar turpināt).

Pārbaudiet šīm saitēm, lai iegūtu papildinformāciju

Piezīme.

  1. Startējot gadījumu SQL Server datu bāzes programmas SQL Server mēģina reģistrēt SPN SQL servera pakalpojuma. Kad instance ir apturēts, SQL Server mēģina dzēst reģistrāciju SPN. Tas notiek, SQL pakalpojuma konts ir ReadServicePrincipalName un WriteServicePrincipalName tiesību pakalpojumā active directory. Bet, ja pakalpojuma konts nav šīs tiesības SPN Automātiskā reģistrēšana nenotiek un jāstrādā ar Active Directory administratoru, lai reģistrētu šos SQL gadījumos, lai iespējotu Kerberos autentifikāciju. Šādā gadījumā lietojot nosaukumu gadījumā ir ērtāk lietot šo gadījumu statisko portu. Ja izmantojat dinamisku portu, porta numurs var mainīt katru reizi, kad pakalpojums tiek restartēts un manuāli reģistrētu SPN gadījuma vairs nav derīgs. Lai iegūtu papildinformāciju, skatiet šīs tēmas SQL Server tiešsaistes grāmatās: Reģistrējiet pakalpojumu primārā nosaukuma Kerberos savienojumiem

  2. Vidē, kur SQL ir SPN sagrupēti automātisko reģistrēšanu nav ieteicams, jo tas var aizņemt vairāk laika, noņemiet reģistrāciju SPN un r reģistra SPN Active Directory kā laiku, kas nepieciešams SQL kontaktpersonas atrodas tiešsaistē. SPN reģistrācijas laikā nenotiek, ja tas var traucēt SQL nāk tiešsaistē, jo nav iespējams izveidot savienojumu ar SQL servera klasteru administratoru.

Izmantojot Kerberos konfigurācijas pārvaldnieku, lai SPN un deleģēšana problēmu diagnosticēšana un labošana

  1. Microsoft® Kerberos Configuration Manager SQL Server® lejupielādēt un instalēt klienta datorā.

  2. Palaist rīku, ieteicams izmantot domēna kontu ar kontu, kuram ir nepieciešamās tiesības, lai izveidotu pakalpojumu active directory. Skatīt attēlu zemāk:

    KerberosConfigManager

  3. Izveidot savienojumu ar SQL Server vēlaties iegūt Kerberos kļūdu saistīto informāciju:

    ConnectKerberosConfigManager

  4. Kad pievienots, jūs varat redzēt dažādām cilnēm šādi:

    Sistēmas: ir pamata sistēmas informāciju. KerConfigManager_System

    SPN:Sniedz informāciju par katra mērķa serverī SQL gadījumos gadījumiem SPN un sniedz dažādas iespējas, kā norādīts tālāk. Izmantojiet šajā cilnē, lai atrastu trūkstošos vai misconfigured SPN un izveidot vai labot pogas, lai novērstu šīs problēmas. KerConfigManager_SPN

    • Ģenerētopcija ļauj izveidot SPN izveides skriptu. Noklikšķinot uz izveidot šo dialoglodziņu sākas pogas: KerConfigManager_GenerateSPN

      Šī opcija izveido cmd failu, kuru var izpildīt no komandrindas, lai ģenerētu SPN.

      GenerateSPNs saturs ir līdzīgs šim:

                          :: This script is generated by the Microsoft(c) SQL Server(c) Kerberos Configuration Manager tool.
      :: The script may update the system information, SPN settings and Delegation configurations of a given server.
      :: SPN and Delegation configuration updates require Windows Domain Administrator permission to execute.
      :: A Domain Admin should review the configurations recommended by this tool and take appropriate actions to enable Kerberos authentication.
      :: Please contact Microsoft Support if Kerberos connection problem persists.
      :: The file is intended to be run in domain "<DomainName>.com"
      :: Corrections for MSSQLSvc/<HostName>.<DomainName>.com
      SetSPN -s MSSQLSvc/<HostName>.<DomainName>.com UserName

      Tas vienkārši izmanto SetSPN iespēja izveidot SQL Server SPN saskaņā ar pakalpojuma kontu.

    • Iespēja Labot pievienos SPN, kamēr ir SPN tiesības un parāda šī rīka padoms:

      KerbConfigManager_Fix 

      Piezīme.

      Rīks nodrošina tikai noteikt un izveidot opcijas noklusējuma instanču un nosaukumu gadījumi ar statisko portu. Dinamiskā porta nosaukumu gadījumos ieteikumu ir pāriet no dinamiskās statisko portu vai sniegt nepieciešamo atļauju pakalpojuma kontu, lai reģistrētu un dzēstu to reģistrāciju SPN katru reizi, kad pakalpojums ir sākts. Pretējā gadījumā jums ir manuāli noņemt un atkārtoti reģistrējiet atbilstošo SPN katru reizi, kad tiek startēts pakalpojums SQL.

    • Deleģēšana cilne: cilne identificē par problēmām saistībā ar pakalpojuma kontu konfigurēšana deleģēšana. Tas ir īpaši noderīgs problēmu novēršanai saistībā ar serveri saistītas problēmas. Piemēram, ja SPN pārbaudīt naudas, bet, ja jums joprojām rodas problēmas, kas saistītas ar saistīto serveri veic vaicājumu varētu norāda, ka pakalpojuma konts ir jākonfigurē deleģēt akreditācijas datus. Papildinformāciju skatiet grāmatas tēmu tiešsaistes Deleģēšanai konfigurēšana saistītie serveri.

      KerbConfigManger_Delegation 

  5. Kad labojat SPN, vēlreiz palaidiet rīku Kerberos konfigurācijas pārvaldnieks un nodrošinātu SPN un deleģēšana vairs cilnes Ziņojums kļūdu ziņojumus, un mēģiniet vēlreiz savienojumu lietojumprogrammā.

Papildinformāciju skatiet tālāk norādītās saites:

Vai problēma novērsta?

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Paldies par jūsu atsauksmēm!

Paldies par atsauksmēm! Šķiet, ka jums varētu būt noderīgi sazināties ar kādu no mūsu Office atbalsta speciālistiem.

×