В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Как убедиться, что используется проверка подлинности Kerberos, при создании удаленного подключения к экземпляру SQL Server 2005

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

Эта статья на английском языке:909801
ВВЕДЕНИЕ
В данной статье описывается убедитесь, что вы используете Проверка подлинности Kerberos в качестве метода проверки подлинности Microsoft Windows, при создании удаленного подключения к экземпляру Microsoft SQL Server 2005.
Дополнительная информация
SQL Server 2005 поддерживает проверку подлинности Kerberos, косвенно через Windows поставщика поддержки безопасности интерфейса (SSPI) после встроенную проверку подлинности Windows вместо проверки подлинности SQL. Тем не менее SQL Server будет использовать только проверку подлинности Kerberos в определенных обстоятельствах можно с помощью SQL Server SSPI для согласования используемого протокола проверки подлинности. Если SQL Server не может использовать Kerberos Проверка подлинности Windows будет использовать NTLM Проверка подлинности. По соображениям безопасности рекомендуется использовать проверку подлинности Kerberos, вместо проверки подлинности NTLM. Администраторы и пользователи должны как убедиться, что при использовании проверки подлинности Kerberos для дистанционного подключения.

Чтобы использовать проверку подлинности Kerberos, необходимо убедиться что выполняются все следующие условия:
  • Сервер и клиентские компьютеры должны быть членами из того же домена Windows или членами доверенных доменов.
  • Имя участника службы сервера (SPN) должно быть зарегистрированные в службе каталогов Active Directory.
  • Экземпляр SQL Server 2005 необходимо включить протокол TCP/IP протокол.
  • Клиент должен подключиться к экземпляру SQL Server 2005 с помощью протокола TCP/IP. Например, можно поместить протокола TCP/IP в верхней части Порядок протоколов клиента. Или можно добавить префикс "tcp:" в строке подключения для Укажите, что подключение использует протокол TCP/IP.

Как зарегистрировать имя SPN в домене

При регистрации имени участника-службы для службы SQL Server, Фактически, создается сопоставление имени SPN и окон учетная запись запуска экземпляра службы сервера.

Потому, что клиент должен использовать зарегистрированные SPN для подключения к экземпляру сервера, необходимо зарегистрировать имя участника службы. Имя участника службы состоит, используя имя сервера и номер порта TCP/IP. Если имя SPN не зарегистрировано, SSPI не удается определить учетную запись, связанную с имя участника-службы. Таким образом проверка подлинности Kerberos использоваться не будут.

Когда SQL Server выполняется под локальной системной учетной записью или под доменом учетная запись администратора экземпляра автоматически зарегистрирует имя участника-службы в При запуске экземпляра следующий формат:
Служба MSSQLSvc /ПОЛНОЕ ДОМЕННОЕ ИМЯ:объекта
Примечание ПОЛНОЕ ДОМЕННОЕ ИМЯ — Это полное имя домена имя сервера. объекта — номер порта TCP/IP.

Поскольку в имени участника службы входит номер порта TCP, необходимо включить SQL Server Протокол TCP/IP, чтобы пользователь мог подключиться с помощью проверки подлинности Kerberos. Же правила действуют для кластеризованных конфигураций. Кроме того Если экземпляр автоматически зарегистрированные SPN при запуске экземпляра, имя участника-службы будут удалены автоматически когда экземпляр останавливается.

Только учетной записи администратора домена или Локальная системная учетная запись имеет необходимые разрешения на регистрацию SPN. Таким образом Если Служба SQL Server запущена под учетной записью администратора SQL Server не удается зарегистрировать имя участника-службы для экземпляра. Это не помешает экземпляра При запуске. Тем не менее в журнал приложений заносится следующее сообщение журнал событий Windows:

Тип события: сведения
Источник события: MSSQL$Имя_экземпляра
События Категория: (2).
КОД события: 26037
Дата: Дата
Время: Время
Пользователь: н/Д
Компьютер: Имя_компьютера
Описание:
Сети SQL Библиотека интерфейса не удалось зарегистрировать основное имя службы (SPN) для Службы SQL Server. Ошибка: 0x54b. Для регистрации имени SPN могут возникнуть Встроенная проверка подлинности NTLM вместо Kerberos небезопасной. Это информационное сообщение. Дальнейших действий не только обязателен, если Kerberos политики проверки подлинности требуется проверка подлинности.
Для получения дополнительных сведения, обратитесь в центр справки и поддержки в http://support.Microsoft.com.

Если это сообщение регистрируется, необходимо вручную зарегистрировать имя участника-службы для экземпляра в разделе домена учетная запись администратора для использования проверки подлинности Kerberos. Для Зарегистрируйте имя участника-службы, можно использовать средство SetSPN.exe, поставляемой с Microsoft Windows 2000 Server Пакет Resource Kit. Это средство также входит в состав средств поддержки для Windows Server 2003. Средства поддержки Windows Server 2003 включены в Windows Server 2003 с пакетом обновления 1 (SP1).

Для получения дополнительных сведений о получении службы Windows Server 2003 с пакетом обновления 1 поддержка Средства, щелкните следующий номер статьи базы знаний Майкрософт:
892777Средства поддержки Windows Server 2003 с пакетом обновления 1
Можно использовать команду, подобное приведенному ниже, чтобы Зарегистрируйте имя участника-службы для экземпляра:
Служба MSSQLSvc –A SetSPN /<computername>.<domainname>:1433 <accountname></accountname></domainname></computername>
Примечание Если имя SPN уже существует, вы должны удалить SPN перед для повторной регистрации. Возможно, в случае, если сопоставление учетных записей был изменен. Для удалить существующее имя участника-службы можно использовать средство SetSPN.exe вместе с -Dкоммутатор.

Как убедиться, что при использовании проверки подлинности Kerberos

После подключения к экземпляру SQL Server 2005, выполните следующую инструкцию Transact-SQL в SQL Server Среда Management Studio:
select auth_scheme from sys.dm_exec_connections where session_id=@@spid
Если SQL Server использует проверку подлинности Kerberos, символьной строки который указан как «kerberos» отображается в столбце auth_scheme в результате окно.
Ссылки
Дополнительные сведения содержатся в следующих разделах, в Microsoft SQL Server Электронная документация в 2005 г.:
  • Регистрация имени участника-службы
  • Включение проверки подлинности Kerberos, включая SQL Server виртуальным серверам в кластерах серверов

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 909801 — последний просмотр: 06/18/2011 16:14:00 — редакция: 4.0

Microsoft SQL Server 2005 Standard Edition, Microsoft SQL Server 2005 Developer Edition, Microsoft SQL Server 2005 Enterprise Edition, Microsoft SQL Server 2005 Workgroup Edition, Microsoft SQL Server 2005 Express Edition

  • kbsql2005connect kbinfo kbmt KB909801 KbMtru
Отзывы и предложения