Bağlantılı sunucumu Windows kimlik doğrulaması kullanarak nasıl çalıştırabilirim?

20

Bir etki alanı ortamında "Oturum açma'nın geçerli güvenlik bağlamı kullanılarak yapılan" kullanarak ServerB başka bir sunucuda oluşturulan ServerA bağlı bir sunucu almaya çalışıyorum. Kerberos'u etkinleştirmek için sunucuların her birinde SQL Server çalıştıran hizmet hesapları için SPN'lerin oluşturulması gerektiğini okumuştum. Bunu yaptım ve her ikisi de şimdi Kerberos olmak için kimlik doğrulama şemasını gösteriyor, ancak yine de hatayla karşılaşıyorum:

"Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'".

Active Directory'de, ServerB hizmet hesabının MSSQLSvc'e temsilci seçme için güvenilir olduğunu görebiliyorum, ancak ServerA hizmet hesabının henüz "bu kullanıcıya temsilci seçme için güven" etkin olmadığını fark ettim. Hedef sunucunun da bu seçeneği etkinleştirmesi gerekiyor mu? Bağlantılı bir sunucuyu kullanmak için geçerli Windows oturum açma bilgisini kullanabilmek için başka bir şey gerekli mi?

sql-server  sql-server-2008  linked-server  authentication  kerberos 
Christopher Garcia
kaynak

Yanıtlar:

22

Masaüstünüzden aradığınız sunucuya giden zincirdeki her makinenin, güvenin ilk atlamadan sonra ilerlemesi için Kerberos etkinleştirilmiş olması gerekir. Bu nedenle, evet sunucunun temsilci seçme için kullanıcıya güvenmesi gerekir.

"'NT AUTHORITY \ ANONYMOUS LOGON' kullanıcısı için oturum açma başarısız oldu" hemen hemen her zaman bir temsilci seçme sorununu gösterir.

  • Windows Hesabınızın hem ServerA hem de ServerB'ye erişimi olmalıdır.
  • "Hesap hassas ve devredilemez" ayarına sahip olmamalısınız.
  • Hem ServerA hem de ServerB'nin kendi SPN'si kayıtlı olmalıdır.
  • Sunucular TCP / IP veya bağlı kanallar olmalıdır.

Daha fazla ayrıntı sunan SQL Server Çevrimiçi Kitapları makalesi, "Bağlantılı Sunucuları Yetki Vermek için Yapılandırma": http://msdn.microsoft.com/en-us/library/ms189580(v=sql.105).aspx

RLF
kaynak
1
Yararlı MSDN Blog SPN ve Kerberos hakkında detaylar
Jan Zahradník
Ayrıca her iki sunucu için DNS takma adı kullanıp kullanmadığınızı, SPN'lerin eşleşmesi gerektiğini kontrol edin.
Greg
-1

Burada iki şey var:

  1. Bağlantılı bir sunucuyu, yerel sunucu oturum açma bilgilerini uzak sunucuya eşlemeden kullanırken, uzak bir makinede oturum açmayın ve komut dosyalarını çalıştırmak için Windows oturum açma bilgilerini kullanın. İkili atlama sorunu kimliğe bürünme kullandığından devreye girer.

  2. Ayrıca, iletişim için yerel DTC'yi DCOMCNFG aracılığıyla ayarlamanız gerekecektir. Ekteki resme bakın.

(DCOMCNFG -> Bileşen Hizmetleri -> Bilgisayarlar -> Bilgisayarım -> Dağıtılmış İşlem Düzenleyicisi -> LocalDTC -> Özellikler -> Güvenlik)

resim açıklamasını buraya girin

Tekila
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.