Lỗi xác thực Kerberos có thể xảy ra vì nhiều lý do. Các nguyên nhân và giải pháp tương ứng được đánh dấu dưới đây:

Vấn đề nhập

Giải pháp được đề xuất

Vấn đề SPN:

  • Thiếu SPN: SPN không được đăng ký trong Active directory

  • Mục SPN không đúng: SPN tồn tại, nhưng số cổng không chính xác hoặc có một tài khoản khác ngoài tài khoản Dịch vụ SQL.

  • Lặp lại SPN: SPN cùng tồn tại trên nhiều tài khoản active directory

Kiểm tra "quản lý cấu hình Kerberos sử dụng để chẩn đoán và khắc phục sự cố SPN và uỷ nhiệm" trong đoạn sau đây để chẩn đoán và khắc phục sự cố SPN. Lưu ý: Cho sâu hiểu SPN, Kerberos và các khái niệm liên quan đến kiểm tra thông tin trong bài viết KB sau: Cách khắc phục lỗi "Không thể tạo ngữ cảnh SSPI"

Tài khoản Dịch vụ SQL không tin cậy để uỷ nhiệm. Nếu bạn đang sử dụng tài khoản hệ thống cục bộ, máy chủ Trung nên tin cậy để uỷ nhiệm trong active directory

Quản lý cấu hình UseKerberos uỷ nhiệm tab để xác nhận và làm việc với người quản trị để cho phép uỷ nhiệm tài khoản Active directory. Kiểm tra "quản lý cấu hình Kerberos sử dụng để chẩn đoán và khắc phục sự cố SPN và uỷ nhiệm" để biết chi tiết trong đoạn sau

Giải pháp sai tên: tên máy chủ có thể giải quyết địa chỉ IP khác nhau hơn đã được đăng ký của máy chủ DNS mạng của bạn.

ping - a < your_target_machine > (sử dụng -4 và -6 IPv4 và IPv6 đặc biệt) ping - a < Your_remote_IPAddress > nslookup (nhập tên máy tính cục bộ và từ xa và địa chỉ IP của bạn nhiều lần) Tìm bất kỳ sự khác biệt và mismatches trả lại kết quả. Tính chính xác của cấu hình DNS trên mạng là quan trọng để kết nối SQL. Sai DNS mục có thể gây ra tất cả các loại sự cố kết nối sau. Xem liên kết này cho một ví dụ, "không thể tạo SSPI bối cảnh" thông báo lỗi, độc DNS.

Tường lửa hoặc các thiết bị mạng ngăn kết nối từ máy khách điều khiển vùng: SPN được lưu trữ trong active directory và nếu khách hàng có thể liên lạc với quảng cáo, kết nối không thể tiếp tục thêm).

Kiểm tra các liên kết sau để biết thêm thông tin

Lưu ý

  1. Khi bắt đầu một phiên bản cơ sở dữ liệu SQL Server, SQL Server cố đăng ký SPN cho dịch vụ SQL Server. Khi dừng phiên bản SQL Server cố huỷ đăng ký SPN. Để làm việc này xảy ra, tài khoản Dịch vụ SQL cần ReadServicePrincipalNameWriteServicePrincipalName quyền active directory. Tuy nhiên, nếu tài khoản Dịch vụ có các quyền đăng ký tự động SPN không xảy ra và bạn cần phải làm việc với người quản trị Active Directory để đăng ký cho các phiên bản SQL cho phép xác thực Kerberos. Trong trường hợp này, nếu bạn đang sử dụng phiên bản có tên, nó sẽ thuận tiện hơn để sử dụng một cổng tĩnh cho phiên bản đó. Nếu bạn sử dụng cổng động, số cổng có thể thay đổi mỗi lần khởi động lại dịch vụ và đăng ký theo cách thủ công SPN cho phiên bản là không hợp lệ. Để biết thêm thông tin, hãy tham khảo các chủ đề sau trong SQL Server sách trực tuyến: Đăng ký tên dịch vụ kết nối Kerberos

  2. Trong môi trường SQL đâu nhóm đăng ký tự động SPN không được khuyến nghị vì có thể mất nhiều thời gian để huỷ đăng ký SPN r đăng ký SPN trong Active directory hơn thời gian cho SQL trực tuyến. Nếu đăng ký SPN không xảy ra trong thời gian, nó có thể khiến SQL đến trực tuyến do quản trị viên cụm không thể kết nối với SQL server.

Sử dụng trình quản lý cấu hình Kerberos để chẩn đoán và khắc phục sự cố SPN và uỷ nhiệm

  1. Tải xuống Microsoft® Kerberos quản lý cấu hình cho SQL Server® và cài đặt trên máy khách.

  2. Khởi chạy công cụ bằng tài khoản miền tốt hơn với tài khoản có đủ quyền để tạo SPN trong active directory của bạn. Xem phần bên dưới hình ảnh:

    KerberosConfigManager

  3. Kết nối với SQL Server bạn muốn thu thập Kerberos các lỗi liên quan đến thông tin:

    ConnectKerberosConfigManager

  4. Sau khi kết nối, bạn có thể thấy tab khác nhau như sau:

    Hệ thống: cung cấp thông tin cơ bản của hệ thống. KerConfigManager_System

    SPN:Cho SPN thông tin về các phiên bản của phiên bản SQL trên máy chủ mục tiêu và cung cấp các tùy chọn như đã nêu dưới đây. Sử dụng tab này để tìm các thiếu hoặc sai SPN và nút tạo hoặc sửa chữa để khắc phục các sự cố. KerConfigManager_SPN

    • Tạotuỳ chọn sẽ cho phép bạn tạo SPN tạo tập lệnh. Nhấp vào tạo nút mạc hộp thoại sau: KerConfigManager_GenerateSPN

      Tuỳ chọn này tạo tệp cmd có thể được thực hiện từ dấu nhắc lệnh để tạo SPN.

      Nội dung của generateSPNs, sẽ giống như sau:

                          :: This script is generated by the Microsoft(c) SQL Server(c) Kerberos Configuration Manager tool.
      :: The script may update the system information, SPN settings and Delegation configurations of a given server.
      :: SPN and Delegation configuration updates require Windows Domain Administrator permission to execute.
      :: A Domain Admin should review the configurations recommended by this tool and take appropriate actions to enable Kerberos authentication.
      :: Please contact Microsoft Support if Kerberos connection problem persists.
      :: The file is intended to be run in domain "<DomainName>.com"
      :: Corrections for MSSQLSvc/<HostName>.<DomainName>.com
      SetSPN -s MSSQLSvc/<HostName>.<DomainName>.com UserName

      Chỉ cần sử dụng tuỳ chọn SetSPN để tạo SPN trong tài khoản Dịch vụ SQL Server.

    • Tuỳ chọn khắc phục sự cố sẽ thêm SPN miễn là bạn có phải thêm SPN và hiển thị mẹo công cụ sau:

      KerbConfigManager_Fix 

      Lưu ý

      Công cụ chỉ cung cấp tuỳ chọn khắc phục sự cố và tạo phiên bản mặc định và các phiên bản có tên với cổng tĩnh. Đối với phiên bản có tên bằng cách sử dụng cổng động, đề nghị là chuyển đổi từ động cổng tĩnh hoặc cung cấp các quyền cần thiết cho tài khoản Dịch vụ đăng ký và huỷ đăng ký SPN mỗi khi khởi động dịch vụ. Ngoài ra, bạn phải tự huỷ đăng ký và đăng ký lại SPN tương ứng mỗi khi khởi động dịch vụ SQL.

    • Uỷ nhiệm tab: tab xác định bất kỳ vấn đề với cấu hình tài khoản Dịch vụ uỷ nhiệm. Điều này là đặc biệt hữu ích trong việc khắc phục sự cố máy chủ liên kết. Ví dụ: nếu các SPN kiểm tốt nhưng nếu bạn vẫn gặp sự cố với liên kết máy chủ truy vấn có thể dấu hiệu tài khoản Dịch vụ không cấu hình uỷ nhiệm Uỷ nhiệm. Để biết thêm thông tin xem sách trực tuyến chủ đề ở Cấu hình máy chủ được liên kết để uỷ nhiệm.

      KerbConfigManger_Delegation 

  5. Khi bạn sửa chữa các SPN, chạy lại công cụ quản lý cấu hình Kerberos, đảm bảo SPN và uỷ nhiệm tab không báo cáo bất kỳ thông báo lỗi và thử kết nối từ ứng dụng của bạn.

Để biết thêm thông tin xem các liên kết sau:

Điều này có khắc phục sự cố không?

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?

Cảm ơn phản hồi của bạn!

×