Nasıl yapılır: SQL Server 2005 örneği için uzak bağlantı oluşturduğunuzda, Kerberos kimlik doğrulamasını kullandığınızdan emin olun

ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.

Makalenin İngilizcesi aşağıdaki gibidir:909801
Giriş
Bu makalede, Microsoft SQL Server 2005 örneği için uzak bağlantı oluşturduğunuzda, Kerberos kimlik doğrulamasını bir Microsoft Windows kimlik doğrulama yöntemi olarak kullandığınızdan emin olmak açıklamaktadır.
Daha fazla bilgi
SQL Server 2005, SQL kimlik doğrulaması yerine tümleşik Windows kimlik doğrulaması'nı kullanırken, Kerberos kimlik doğrulamasını dolaylı olarak aracılığıyla Windows Güvenlik Desteği Sağlayıcısı Arabirimi (SSPI) destekler. Ancak, SQL Server kimlik doğrulama iletişim kuralı kullanmak üzere anlaşma SSPI kullandığınızda, SQL Server yalnızca belirli koşullarda Kerberos kimlik doğrulamasını kullanır. SQL Server Kerberos kullanamazsa Windows kimlik doğrulaması NTLM kullanacağı kimlik doğrulama. Güvenlik nedenleriyle, Kerberos kimlik doğrulaması yerine NTLM kimlik doğrulamasını kullanmanız önerilir. Yöneticiler ve kullanıcılar, uzak bağlantılar için Kerberos kimlik doğrulamasını kullandığınızdan emin olun nasıl bilmelisiniz.

Kerberos kimlik doğrulamasını kullanmak için aşağıdaki koşulların tümünün doğru olduğundan emin olmanız gerekir:
  • Hem sunucu hem de istemci bilgisayarların, aynı Windows etki alanının üyesi veya güvenilen etki alanlarının üyesi olması gerekir.
  • Sunucunun hizmet asıl adı (SPN) Active Directory dizin hizmetinde kayıtlı olması gerekir.
  • SQL Server 2005 örneği TCP/IP etkinleştirmelisiniz iletişim kuralı.
  • Istemci, TCP/IP iletişim kuralını kullanarak SQL Server 2005 örneğine bağlanmanız gerekir. Örneğin, TCP/IP iletişim kuralı istemci iletişim kuralı sırasını üstünde yerleştirebilirsiniz. Veya önek "tcp:" bağlantı TCP/IP iletişim kuralı kullanmasını belirtmek için bağlantı dizesindeki.

SPN, bir etki alanına kaydetmek için

Bir SQL Server hizmeti için bir SPN için kaydolduğunuzda, aslında bir SPN ve pencereleri arasında bir eşleme oluşturduğunuz hesabı sunucu örneği hizmeti başlatıldı.

Istemci, sunucu kopyasına bağlanmak için kayıtlı bir SPN kullanmalısınız, çünkü SPN kaydettirmeniz gerekir. SPN sunucu çubuğundaki bilgisayar adını ve TCP/IP bağlantı noktası kullanarak oluşur. SPN kaydı, SSPI SPN ile ilişkili hesabın belirleyemiyor. Bu nedenle, Kerberos kimlik doğrulaması kullanılmaz.

SQL Server, yerel sistem hesabı altında veya bir etki alanı yöneticisi hesabı altında çalıştığında örneği başlatıldığında, örneğin otomatik olarak SPN aşağıdaki biçimde kaydeder:
MSSQLSvc / FQDN: tcpport
NotFQDN, sunucunun tam etki alanı adıdır. tcpport TCP/IP bağlantı noktası numarasıdır.

SPN TCP bağlantı noktası numarasını içerdiği için SQL Server bir kullanıcının Kerberos kimlik doğrulamasını kullanarak bağlanmak TCP/IP iletişim kuralını etkinleştirmeniz gerekir. Aynı kuralları, kümelenmiş yapılandırmalar için geçerlidir. Örnek örneği başlatıldığında, otomatik olarak bir SPN kayıtlı, örnek durduğunda ayrıca SPN otomatik olarak kaydı olacaktır.

Yalnızca bir etki alanı yöneticisi hesabı veya yerel sistem hesabı için SPN kaydetmek için gerekli izinlere sahiptir. Bu nedenle, bir yönetici olmayan hesabının altında SQL Server hizmeti başlatılmışsa, SQL Server örneği için bir SPN kaydı yapılamıyor. Bu davranış, örnek başlatılmasını engellemez. Ancak, Windows olay günlüğüne uygulama günlüğüne aşağıdaki iletiyi günlüğe kaydedilir:

Olay türü: bilgi
Olay kaynağı: MSSQL $ InstanceName
Olay Kategorisi: (2)
Olay KIMLIĞI: 26037
Tarihi: Date
Süre: Time
Kullanı.: Yok
Bilgisayar: ComputerName
Açıklama:
Hizmet asıl adı (SPN) SQL Server hizmeti için SQL ağ arabirimi kitaplığı kaydedilemedi. Hata: 0x54b. SPN kaydetmek için tümleşik kimlik doğrulaması için Kerberos yerine NTLM kullanmaya geri dönerse başarısız olabilir. Bu bilgilendirici bir iletidir. Yalnızca, başka eylem gerekmez gerekli ise Kerberos kimlik doğrulaması, kimlik doğrulama ilkeleriyle gereklidir.
Daha fazla bilgi için, http://support.microsoft.com adresindeki Yardım ve Destek Merkezi'ne bakın.

Bu iletinin günlüğe kaydedilirse, örnek bir etki alanı yönetici hesabı için SPN Kerberos kimlik doğrulaması kullanacak biçimde el ile kaydetmeniz gerekir. SPN kaydetmek için <a0></a0>, Microsoft Windows 2000 Server Resource Kit ile gelen SetSPN.exe aracını kullanabilirsiniz. Bu aracı, Microsoft Windows Server 2003 Destek Araçları da bulunur. Windows Server 2003 Destek Araçları, Microsoft Windows Server 2003 Service Pack 1 (SP1) eklenmiştir.

Windows Server 2003 Service Pack 1 Destek Araçları'nı edinme hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
892777Windows Server 2003 Service Pack 1 Destek Araçları
Bir örneği için bir SPN kaydetmek için aşağıdakine benzer bir komut kullanabilirsiniz:
SetSPN –A MSSQLSvc/<computername>. <domainname>: 1433 <accountname>
Not SPN zaten varsa, onu yeniden önce SPN silmelisiniz. Hesap eşleştirme değiştirildiyse, bunu yapmak zorunda kalabilirsiniz. Varolan bir SPN silinmesi için <a0></a0>, - D anahtarıyla birlikte SetSPN.exe aracını kullanabilirsiniz.

Nasıl yapılır: Kerberos kimlik doğrulamasını kullandığınızdan emin olun.

SQL Server 2005 örneğine bağlı sonra SQL Server Management Studio'da aşağıdaki Transact-SQL deyimini çalıştırın:
select auth_scheme from sys.dm_exec_connections where session_id=@@spid
Kerberos kimlik doğrulaması <a0>Sonuç</a0> penceresinde <a1>auth_scheme</a1> sütununda "KERBEROS" görünen listelenen bir karakter dizesi, SQL Server kullanan.
Referanslar
Daha fazla bilgi için Microsoft SQL Server 2005 Books Online'da aşağıdaki konulara bakın:
  • Hizmet asıl adı'nın kayıt
  • SQL Server dahil olmak üzere, Kerberos kimlik doğrulamasını etkinleştirmek için sunucu sanal sunucularda kümeleri nasıl

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 909801 - Son İnceleme: 10/02/2006 15:32:17 - Düzeltme: 2.3

Microsoft SQL Server 2005 Standard Edition, Microsoft SQL Server 2005 Developer Edition, Microsoft SQL 2005 Server Enterprise, Microsoft SQL 2005 Server Workgroup, Microsoft SQL Server 2005 Express Edition

  • kbmt kbsql2005connect kbinfo KB909801 KbMttr
Geri bildirim