Виправлення помилки перевірки автентичності, через проблеми з Kerberos

Неполадки з автентифікації Kerberos, може статися через різні причини. Нижче виділено основні причини а також відповідні рішення:

Тип питання

Рекомендовані вирішення

SPN проблеми:

  • Відсутній SPN: SPN не зареєстровано в Active directory.

  • Неправильні записи в SPN: SPN існує, але номер порту неправильний або він існує на обліковий запис обліковий запис служби в SQL.

  • Дубльованих імен: Ж SPN, існує кілька облікових записів, у службі active directory

Перевірте "Конфігурація Kerberos, за допомогою диспетчера для діагностики та вирішення проблем із SPN і делегування" в наведеному абзаці для діагностики та вирішення проблем з SPN. Примітка: Для в глибину розуміння SPN, Kerberos та інших пов'язаних понять переглянути інформацію в такій статті бази Знань: Виправлення неполадок, з'являється повідомлення про помилку "Не вдалося створити SSPI контекст"

Облікових записів служби в SQL не довірений для делегування. Якщо використовується обліковий запис локальної системи середнього сервер має бути довіреним для делегування, в active directory.

Диспетчер конфігурацій UseKerberos делегування tab, щоб підтвердити і працювати, щоб дозволити делегування обліковий запис адміністратора служби Active directory. Перевірте "Конфігурація Kerberos, за допомогою диспетчера для діагностики та вирішення проблем із SPN і делегування" Додаткові відомості, що в наведеному абзаці

Неправильний імен: ім'я сервера може вирішення в іншу IP-адреса, ніж, зареєстрований DNS-сервер мережі.

Ping < your_target_machine > (у -4 -6 і для IPv4 і IPv6 спеціально) Ping < Your_remote_IPAddress > nslookup (введіть ім'я локального і віддаленого комп'ютера та IP-адресу кілька разів) Знайдіть невідповідностей і невідповідностей, на результати. Важливо правильність DNS конфігурації мережі, для підключення до SQL. Неправильні записи у DNS може спричинити будь-яких проблема з підключенням до новішої версії. Див. це посилання, наприклад, "неможливо створити SSPI контекст" повідомлення про помилку, DNS, отруєних.

Брандмауери або інші мережні пристрої, запобігання підключення клієнта до контролера домену: SPN, які зберігаються в active directory, і, якщо не вдається зв'язатися із оголошення клієнтам, підключення не може рухатися далі).

Перевірте за наведеними нижче посиланнями, щоб отримати додаткові відомості

Примітка

  1. Під час запуску екземпляра Обробник баз даних SQL Server, SQL Server намагається зареєструвати SPN, служби SQL Server. Під час зупинки екземпляра SQL Server намагається реєстрацію SPN. Для цього облікового запису служби SQL, має ReadServicePrincipalName та WriteServicePrincipalName права в active directory. Однак якщо обліковий запис служби не має таких прав автоматичної реєстрації SPN, не відбувається, і вам потрібно для роботи служби Active Directory адміністратора для реєстрації, ці випадки SQL, щоб увімкнути автентифікацію Kerberos. У цьому випадку якщо ви працюєте на зразок іменованого це буде зручніше використовувати статичні порт для цього екземпляра. Якщо використовуються динамічні портів, номер порту, можна змінити під час кожного перезапуску служби, і вручну, зареєстрованих SPN для екземпляра уже не дійсний. Щоб отримати додаткові відомості див. в таких статтях електронної документації SQL Server Books Online: Реєстрація ім'я служби Kerberos підключення.

  2. У середовищах, де SQL кластерного автоматичної реєстрації імена учасників служби не рекомендується, оскільки це може зайняти більше часу, щоб скасувати реєстрацію, SPN і r з реєстру SPN, у службі Active directory, ніж час, потрібний для SQL, щоб переходити в онлайновий режим. Якщо реєстрацію SPN станеться в часі, це може перешкодити SQL надходять через Інтернет, тому, що кластера адміністратор не може підключитися до SQL server.

За допомогою диспетчера конфігурацій для Kerberos, для діагностики та вирішення проблем із SPN і делегування

  1. Завантажити Microsoft® Kerberos Диспетчер конфігурацій для SQL Server® та інстальовано на комп'ютері-клієнті.

  2. Запуск засобу, використовуючи обліковий запис домену, переважно з обліковим записом, який має дозвіл на створення імена учасників служби у вашому active directory. Див. в нижче зображення:

    KerberosConfigManager

  3. Підключення до SQL Server, потрібно зібрати на Kerberos помилки, пов'язані з інформацією:

    ConnectKerberosConfigManager

  4. Після підключення, можна побачити різні вкладки, як показано нижче:

    Система: містить основні відомості про систему. KerConfigManager_System

    SPN:Надає SPN інформацію про екземплярів кожного SQL копій на цільовий сервер а також надає різні варіанти, як зазначено нижче. Використовуйте цю вкладку, щоб знайти відсутні або неправильно SPN і кнопки створити або виправлення для усунення цих проблем. KerConfigManager_SPN

    • Створенняпараметр дає змогу створювати SPN створення сценарію. Розділ, створення починає кнопку нижче діалоговому вікні: KerConfigManager_GenerateSPN

      Цей параметр, створює командний файл, який можна виконувати в командному рядку, щоб створити SPN.

      Вміст generateSPNs, буде приблизно такого вигляду:

                          :: This script is generated by the Microsoft(c) SQL Server(c) Kerberos Configuration Manager tool.
      :: The script may update the system information, SPN settings and Delegation configurations of a given server.
      :: SPN and Delegation configuration updates require Windows Domain Administrator permission to execute.
      :: A Domain Admin should review the configurations recommended by this tool and take appropriate actions to enable Kerberos authentication.
      :: Please contact Microsoft Support if Kerberos connection problem persists.
      :: The file is intended to be run in domain "<DomainName>.com"
      :: Corrections for MSSQLSvc/<HostName>.<DomainName>.com
      SetSPN -s MSSQLSvc/<HostName>.<DomainName>.com UserName

      SetSPN-параметр просто використовується для створення в SPN під обліковий запис служби SQL Server.

    • Виправлення , варіант буде додати SPN, як право на додавання SPN і відображається таке підказці:

      KerbConfigManager_Fix 

      Примітка

      Засіб забезпечує тільки параметри виправлення та створення екземплярів за промовчанням а також іменованих екземплярів статичні портів. Для іменованих екземплярів динамічний порту рекомендовано не перейти від динамічних статичний порти або надання дозволів на доступ до облікового запису служби реєструвати та скасовувати реєстрацію SPN під час кожного запуску служби. В іншому випадку потрібно вручну скасування реєстрації та повторна Реєстрація відповідні SPN під час кожного запуску служби SQL.

    • Делегування вкладки: вкладки вказує на будь-які проблеми з налаштування облікового запису служби, для делегування. Це особливо корисно, виправлення неполадок пов'язаних проблем із сервером. Наприклад, якщо SPN, ознайомтеся з штраф, але якщо ви все ще зіткнулися проблеми з зв'язаний сервер надсилає запит може вказівки, що обліковий запис служби не настроїти делегування облікових даних. Щоб отримати додаткові відомості, перегляньте розділ книги онлайн Настройка зв'язаний серверів для делегування.

      KerbConfigManger_Delegation 

  5. Після того, як усунути SPN, повторно Kerberos Configuration Manager інструмент і переконайтеся, що SPN і делегування вкладки більше не звіт про повідомлення про помилку і повторіть спробу підключення до застосунку.

Щоб отримати додаткові відомості, перегляньте ці посилання:

Чи виправлено проблему?

Потрібна додаткова довідка?

Отримуйте нові функції раніше за інших
Приєднатися до Microsoft оцінювачів

Чи були ці відомості корисні?

Дякуємо за ваш відгук!

Дякуємо, що знайшли час і надіслали нам відгук! Можливо, у нас не буде часу відповісти на кожен коментар, але докладемо максимум зусиль, щоб переглянути їх усі. Вас цікавить, як ми використовуємо ваші відгуки?

×