Falhas de autenticação Kerberos podem acontecer devido a uma série de motivos. As principais causas e resoluções correspondentes são destacadas a seguir:

Tipo de questão

Sugestões de soluções

Problemas SPN:

  • Ausência de SPNs: SPN não está registrado no Active directory

  • Entradas SPN incorretas: SPN existe, mas o número de porta está incorreto ou ela existe em outra conta que não seja a conta do serviço SQL.

  • SPNs duplicados: O mesmo SPN existe em várias contas no active directory

Verifique se "manager usando a configuração do Kerberos para diagnosticar e corrigir problemas de SPN e delegação" no parágrafo a seguir para diagnosticar e resolver problemas SPN. Observação: Para profunda compreensão dos SPNs, Kerberos e outros conceitos relacionados Revise as informações no seguinte artigo do KB: Como solucionar a mensagem de erro "Não é possível gerar contexto SSPI"

Contas de serviço do SQL não é confiáveis para delegação. Se você estiver usando a conta do sistema Local, o servidor central deve ser confiável para delegação no active directory

Guia de delegação do Gerenciador de configuração de UseKerberos para confirmar e trabalhe com o administrador do Active directory ao ativar a delegação para a conta. Consulte "manager usando a configuração do Kerberos para diagnosticar e corrigir problemas de SPN e delegação" para obter detalhes do parágrafo seguinte

Resolução incorreta do nome: O nome do servidor pode resolver para um endereço IP diferente do que é registrado pelo servidor DNS da sua rede.

ping - a < your_target_machine > (use -4 e -6 para IPv4 e IPv6 especificamente) ping - a < Your_remote_IPAddress > nslookup (digite o nome da máquina local e remota e endereço IP várias vezes) Procure por quaisquer discrepâncias e diferenças de resultados retornados. A correção da configuração do DNS na rede é essencial para a conexão do SQL. Entrada DNS incorreta pode causar mais tarde de todos os tipos de problema de conectividade. Consulte este link para obter um exemplo, "não é possível gerar SSPI contexto" mensagem de erro DNS inviabilizado.

Firewalls ou outros dispositivos de rede impedindo conexões do cliente ao controlador de domínio: SPNs são armazenados no active directory e se os clientes não conseguem se comunicar com o anúncio, a conexão não é possível prosseguir).

Consulte os links a seguir para obter informações adicionais

Observação

  1. Quando inicia uma instância do mecanismo de banco de dados do SQL Server, SQL Server tenta registrar o SPN para o serviço do SQL Server. Quando a instância for interrompida, o SQL Server tenta cancelar o registro do SPN. Para que isso aconteça, a conta de serviço SQL precisa de direitos de ReadServicePrincipalName e WriteServicePrincipalName no active directory. Mas, se a conta de serviço não tem esses direitos o registro automático de SPN não acontecer e você precisar trabalhar com o administrador do Active Directory para registrar esses para as instâncias SQL habilitar a autenticação Kerberos. Nesse cenário, se você estiver usando uma instância nomeada, será mais conveniente usar uma porta estática para a instância. Se você usar portas dinâmicas, o número da porta pode alterar cada vez que o serviço é reiniciado e o SPN registrado manualmente para a instância não é mais válido. Para obter informações adicionais, consulte os seguintes tópicos nos Manuais Online do SQL Server: Registrar um nome Principal de serviço para conexões de Kerberos

  2. Em ambientes onde o SQL é o registro automático em cluster SPNs não são recomendadas porque pode levar mais tempo para cancelar o registro do SPN e r-registrar o SPN no Active directory que o tempo que leva para SQL ao ser colocado online. Se o registro do SPN não acontece em tempo, ele pode impedir SQL esteja on-line porque o administrador de cluster não é capaz de se conectar ao SQL server.

Usando o Gerenciador de configuração do Kerberos para diagnosticar e corrigir problemas de SPN e delegação

  1. Baixar o Gerenciador de configuração do Microsoft® Kerberos para SQL Server® e instale-o em uma máquina cliente.

  2. Inicie a ferramenta usando uma conta de domínio preferencialmente com uma conta que tenha privilégios suficientes para criar SPNs no active directory. Consulte a seguir a imagem:

    KerberosConfigManager

  3. Conectar-se ao SQL Server que você gostaria de coletar o Kerberos informações relacionadas ao erro:

    ConnectKerberosConfigManager

  4. Uma vez conectado, você pode ver guias diferentes conforme mostrado abaixo:

    Sistema: tem as informações básicas do sistema. KerConfigManager_System

    SPN:Fornece as informações de SPN sobre as instâncias de cada uma das instâncias do SQL foi encontradas no servidor de destino e oferece várias opções, como demonstrado abaixo. Use esta guia para localizar o ausente ou SPNs mal configurados e os botões gerar ou correção para corrigir esses problemas. KerConfigManager_SPN

    • Geraropção permitirá criar o script de geração de SPN. Clicando em Gerar botão desativa o seguinte diálogo: KerConfigManager_GenerateSPN

      Essa opção cria um arquivo cmd que pode ser executado no prompt de comando para gerar o SPN.

      O conteúdo de generateSPNs, será semelhante à seguinte:

                          :: This script is generated by the Microsoft(c) SQL Server(c) Kerberos Configuration Manager tool.
      :: The script may update the system information, SPN settings and Delegation configurations of a given server.
      :: SPN and Delegation configuration updates require Windows Domain Administrator permission to execute.
      :: A Domain Admin should review the configurations recommended by this tool and take appropriate actions to enable Kerberos authentication.
      :: Please contact Microsoft Support if Kerberos connection problem persists.
      :: The file is intended to be run in domain "<DomainName>.com"
      :: Corrections for MSSQLSvc/<HostName>.<DomainName>.com
      SetSPN -s MSSQLSvc/<HostName>.<DomainName>.com UserName

      Ela simplesmente usa a opção SetSPN para criar um SPN com a conta de serviço para o SQL Server.

    • Corrigir opção adicionará o SPN desde que você tem o direito de adicionar o SPN e mostra a dica de ferramenta abaixo:

      KerbConfigManager_Fix 

      Observação

      A ferramenta só fornece opções de correção e gerar para instâncias padrão e nomeadas com portas estáticas. Para instâncias nomeadas usando portas dinâmicas, a recomendação é para alternar de dinâmico para portas estáticas ou conceder as permissões necessárias para a conta de serviço registrar e cancelar o registro do SPN sempre que o serviço foi iniciado. Caso contrário, você precisa cancelar o registro e registrar novamente os SPNs correspondentes a cada vez que o serviço do SQL foi iniciado manualmente.

    • Guia delegação: guia identifica problemas com a configuração da conta de serviço para delegação. Isso é especialmente útil na solução de problemas vinculados a problemas de servidor. Por exemplo, se os SPNs check-out, bem, mas se você ainda tiver problemas com vinculado servidor consulta-lo pode ser uma indicação de que a conta de serviço não está configurada para delegar credenciais. Para obter informações adicionais, revise o tópico on-line de livros em Configurando servidores vinculados para delegação.

      KerbConfigManger_Delegation 

  5. Depois de corrigir os SPNs, execute novamente a ferramenta Gerenciador de configuração do Kerberos e certifique-se de que o SPN e a delegação guias não relatório de mensagens de erro e tente novamente a conexão de seu aplicativo.

Para obter informações adicionais, consulte os links a seguir:

Isso resolveu o problema?

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade da tradução?
O que afetou sua experiência?

Obrigado por seus comentários!

×