Làm cách nào để máy chủ được liên kết của tôi hoạt động bằng xác thực Windows?


20

Tôi đang cố gắng để một máy chủ được liên kết đến ServerA được tạo trên một máy chủ khác, ServerB bằng cách sử dụng "Được thực hiện bằng bối cảnh bảo mật hiện tại của đăng nhập" trong môi trường miền. Tôi đọc rằng tôi cần phải tạo SPN cho các tài khoản dịch vụ chạy SQL Server trên mỗi máy chủ để kích hoạt Kerberos. Tôi đã thực hiện điều đó và cả hai hiện hiển thị sơ đồ xác thực là Kerberos, tuy nhiên, tôi vẫn gặp phải lỗi:

"Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'".

Trong Active Directory, tôi có thể thấy rằng tài khoản dịch vụ cho ServerB được tin cậy để ủy quyền cho MSSQLSvc, nhưng tôi nhận thấy rằng tài khoản dịch vụ cho ServerA chưa được kích hoạt "tin tưởng người dùng này để ủy quyền". Có phải máy chủ mục tiêu cũng cần phải bật tùy chọn đó không? Có điều gì khác cần thiết để có thể sử dụng thông tin đăng nhập Windows hiện tại để sử dụng máy chủ được liên kết không?

Câu trả lời:


22

Mỗi máy trong chuỗi từ máy tính để bàn của bạn đến máy chủ mà bạn đang gọi phải được bật Kerberos để tin tưởng vượt qua bước nhảy đầu tiên. Vì vậy, có, máy chủ cần phải tin tưởng người dùng để ủy quyền.

"Đăng nhập thất bại cho người dùng 'NT AUTHORITY \ ANONYMOUS LOGON'" hầu như luôn chỉ ra vấn đề ủy nhiệm.

  • Tài khoản Windows của bạn phải có quyền truy cập vào cả ServerA và ServerB.
  • Bạn không được có cài đặt "Tài khoản nhạy cảm và không thể được ủy quyền."
  • Cả ServerA và ServerB đều phải đăng ký SPN riêng.
  • Các máy chủ phải là TCP / IP hoặc các đường ống có tên được kết nối.

Bài viết trực tuyến về Sách dành cho Máy chủ SQL cung cấp thêm một số chi tiết là "Định cấu hình Máy chủ được liên kết cho Phân quyền": http://msdn.microsoft.com/en-us/l Library / ms189580 (v = sql.105) .aspx


1
Blog MSDN hữu ích để biết chi tiết về SPN và Kerberos
Jan Zahradník

Đồng thời kiểm tra xem bạn có đang sử dụng bí danh DNS cho một trong hai máy chủ không, SPN cần phải khớp.
Greg

-1

Hai điều ở đây:

  1. Khi sử dụng máy chủ được liên kết mà không ánh xạ, máy chủ cục bộ đăng nhập vào máy chủ từ xa không đăng nhập vào máy từ xa và sử dụng thông tin đăng nhập Windows để chạy tập lệnh. Vấn đề hop kép xuất hiện do nó sử dụng mạo danh.

  2. Ngoài ra, bạn sẽ cần thiết lập DTC cục bộ thông qua DCOMCNFG để liên lạc. Xem hình đính kèm.

(DCOMCNFG -> Dịch vụ thành phần -> Máy tính -> Máy tính của tôi -> Điều phối viên giao dịch phân tán -> LocalDTC -> Thuộc tính -> Bảo mật)

nhập mô tả hình ảnh ở đây

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.