Kerberos-verificatiefouten kunnen gebeuren als gevolg van verschillende redenen. De belangrijkste oorzaken en bijbehorende oplossingen zijn hieronder gemarkeerd:

Type probleem

Voorgestelde oplossingen

SPN-problemen:

  • Ontbrekende SPN's: SPN is niet geregistreerd in Active directory

  • Onjuiste vermeldingen van SPN: SPN bestaat, maar het poortnummer is onjuist of het op een andere account dan de SQL-account bestaat.

  • Dubbele SPN's: De dezelfde SPN bestaat voor meerdere accounts in active directory

Raadpleeg 'met behulp van Kerberos Configuration manager vaststellen en oplossen van problemen met SPN en overdracht" " in de volgende alinea opsporen en oplossen van problemen met SPN. Opmerking: Voor diepgaande begrip van SPN's, Kerberos en andere gerelateerde concepten Lees de informatie in het volgende Knowledge Base-artikel: Problemen met het foutbericht 'Kan geen SSPI-context genereren'

Accounts van SQL-Service niet wordt vertrouwd voor overdracht. Als u de account lokaal systeem, moet de middelste server worden vertrouwd voor overdracht in active directory

UseKerberos configuration manager delegatie tabblad bevestigen en werken met uw Active directory-beheerder delegatie voor de account inschakelen. "Met behulp van Kerberos Configuration manager vaststellen en oplossen van problemen met SPN en overdracht" controleren voor meer informatie in de volgende alinea

Onjuiste naam resolutie: naam van uw server mogelijk omgezet in een ander IP-adres dan dat wordt geregistreerd door de DNS-server van uw netwerk.

ping - a < your_target_machine > (gebruik -4 en -6 voor IPv4 en IPv6-specifiek) ping - a < Your_remote_IPAddress > nslookup (Typ de naam van de lokale en externe computer en het IP-adres meerdere malen) Zoeken naar eventuele afwijkingen en verschillen van de resultaten. De juistheid van de DNS-configuratie in het netwerk is essentieel voor SQL-verbinding. Onjuiste DNS-vermelding kan later van allerlei soorten verbindingsprobleem veroorzaken. Zie deze link voor een voorbeeld "kan geen SSPI genereren Context ' foutbericht wordt weergegeven, worden DNS-.

Firewalls of andere apparaten te voorkomen dat verbindingen vanaf de client naar de domeincontroller: SPN's in active directory zijn opgeslagen en als de clients niet communiceren met de AD, de verbinding doorgaan is niet mogelijk).

Raadpleeg de volgende koppelingen voor meer informatie

Opmerking

  1. Wanneer een exemplaar van de SQL Server-Database-Engine wordt gestart, wordt SQL Server probeert te registreren van de SPN voor de SQL Server-service. Wanneer de sessie wordt beëindigd, wordt SQL Server probeert de SPN registratie. Om dit te gebeuren, moet de serviceaccount van SQL ReadServicePrincipalName en WriteServicePrincipalName rechten hebben in active directory. Maar als de service-account niet over deze rechten beschikt de automatische registratie van de SPN niet het geval en moet u werken met de Active Directory-beheerder om te registreren voor de SQL-exemplaren Kerberos-verificatie inschakelen. In dit scenario als u van een benoemd exemplaar gebruikmaakt dient een statische poort gebruiken voor dat exemplaar. Als u dynamische poorten, het nummer van de poort kunt wijzigen elke keer dat de service opnieuw wordt gestart en het handmatig geregistreerde SPN-naam voor het exemplaar is niet langer geldig. Raadpleeg de volgende onderwerpen in SQL Server Books Online voor meer informatie: Registreer een SPN voor Kerberos-verbindingen

  2. In omgevingen waar SQL geclusterde automatische registratie van SPN's is wordt niet aanbevolen omdat dit langer duren kan voor de registratie van de SPN en r-register de SPN in Active directory, dan de tijd die nodig is om SQL on line worden gebracht. Als u de SPN-registratie niet het geval in de tijd, kan het SQL dat on line worden gebracht omdat de Clusterbeheer kan geen verbinding maken met SQL server.

Kerberos Configuration manager gebruiken voor het opsporen en oplossen van problemen met SPN en overdracht

  1. Microsoft® Kerberos Configuration Manager voor SQL Server® downloaden en installeren op een clientcomputer.

  2. Start het hulpprogramma met een domeinaccount, bij voorkeur met een account met onvoldoende rechten voor het maken van de SPN's in active directory. Zie de onderstaande afbeelding:

    KerberosConfigManager

  3. Verbinding maken met de SQL-Server die u gebruiken wilt voor het verzamelen van de Kerberos fout gerelateerde informatie:

    ConnectKerberosConfigManager

  4. Wanneer een verbinding, kunt u de verschillende tabbladen zien zoals hieronder wordt weergegeven:

    Systeem: basisinformatie over het systeem heeft. KerConfigManager_System

    Name:De SPN informatie krijgt over de exemplaren van elk van de SQL-exemplaren gevonden op de doelserver en biedt diverse opties zoals hieronder vermeld. Gebruik dit tabblad om te zoeken naar het ontbrekende of onjuist geconfigureerde SPN's en de knoppen genereren of correctie deze problemen oplossen. KerConfigManager_SPN

    • Genereren-optie kunt u het script voor het genereren van SPN maken. Te klikken op de Generate weer knop uit het volgende dialoogvenster: KerConfigManager_GenerateSPN

      Deze opties kan worden uitgevoerd vanaf de opdrachtprompt voor het genereren van de SPN cmd -bestand maakt.

      De inhoud van de generateSPNs, worden de volgende strekking:

                          :: This script is generated by the Microsoft(c) SQL Server(c) Kerberos Configuration Manager tool.
      :: The script may update the system information, SPN settings and Delegation configurations of a given server.
      :: SPN and Delegation configuration updates require Windows Domain Administrator permission to execute.
      :: A Domain Admin should review the configurations recommended by this tool and take appropriate actions to enable Kerberos authentication.
      :: Please contact Microsoft Support if Kerberos connection problem persists.
      :: The file is intended to be run in domain "<DomainName>.com"
      :: Corrections for MSSQLSvc/<HostName>.<DomainName>.com
      SetSPN -s MSSQLSvc/<HostName>.<DomainName>.com UserName

      De optie SetSPN wordt gewoon gebruikt voor het maken van een SPN-naam onder de serviceaccount voor SQL Server.

    • Fix optie wordt de SPN toevoegen als u het recht de SPN toevoegen en de volgende knopinfo bevat:

      KerbConfigManager_Fix 

      Opmerking

      Het hulpprogramma biedt alleen opties voor correctie en genereren voor standaardexemplaren en benoemde exemplaren met statische poorten. Voor een benoemd exemplaar met behulp van dynamische poort, is de aanbeveling van dynamische overschakelt naar statische poorten of vereiste machtigingen voor de service-account te registreren en deregistreren de SPN elke keer dat de service is gestart. Anders hebt u handmatig de registratie en de bijbehorende SPN's opnieuw registreren de SQL-Service wordt gestart.

    • Tabblad overdracht: het tabblad geeft problemen met de configuratie van de serviceaccount voor overdracht. Dit is vooral handig bij het oplossen van problemen met de server gekoppeld. Bijvoorbeeld als de SPN's uitchecken fijn, maar als u nog steeds problemen met gekoppelde server een query naar deze kan worden een aanwijzing dat de serviceaccount niet geconfigureerd voor het delegeren van referenties. Bekijk de on line boeken-onderwerp op Gekoppelde Servers configureren voor overdrachtvoor meer informatie.

      KerbConfigManger_Delegation 

  5. Nadat u de SPN's opgelost, het Kerberos Configuration Manager-hulpprogramma opnieuw uitvoeren en zorgen de SPN en overdracht tabs niet langer rapport eventuele foutberichten en probeer opnieuw de verbinding vanuit uw toepassing.

Raadpleeg de volgende koppelingen voor meer informatie:

Heeft dit probleem opgelost?

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de vertaalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×