it-swarm.com.de

Wie kann ich meinen Verbindungsserver mithilfe der Windows-Authentifizierung zum Laufen bringen?

Ich versuche, einen Verbindungsserver mit ServerA auf einem anderen Server, ServerB, mithilfe von "Mit dem aktuellen Sicherheitskontext des Logins erstellen" in einer Domänenumgebung zu erstellen. Ich habe gelesen, dass SPNs für die Dienstkonten erstellt werden müssen, auf denen SQL Server auf jedem der Server ausgeführt wird, um Kerberos zu aktivieren. Ich habe das getan und beide zeigen jetzt, dass das Authentifizierungsschema Kerberos ist, aber ich bin immer noch mit dem Fehler konfrontiert:

"Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'".

In Active Directory kann ich sehen, dass das Dienstkonto für ServerB für die Delegierung an MSSQLSvc als vertrauenswürdig eingestuft ist. Ich habe jedoch festgestellt, dass für das Dienstkonto für ServerA die Option "Diesem Benutzer für die Delegierung vertrauen" noch nicht aktiviert ist. Muss auf dem Zielserver auch diese Option aktiviert sein? Ist noch etwas erforderlich, um das aktuelle Windows-Login für die Verwendung eines Verbindungsservers verwenden zu können?

20

Jeder Computer in der Kette von Ihrem Desktop zu dem Server, den Sie aufrufen, muss Kerberos-fähig sein, damit die Vertrauensstellung über den ersten Hop hinausgeht. Ja, der Server muss dem Benutzer für die Delegierung vertrauen.

Die Meldung "Anmeldung für Benutzer 'NT AUTHORITY\ANONYMOUS LOGON' fehlgeschlagen" weist fast immer auf ein Delegierungsproblem hin.

  • Ihr Windows-Konto muss Zugriff auf ServerA und ServerB haben.
  • Sie dürfen nicht die Einstellung "Konto ist vertraulich und kann nicht delegiert werden" haben.
  • Sowohl ServerA als auch ServerB müssen über einen eigenen SPN verfügen.
  • Die Server müssen mit TCP/IP oder Named Pipes verbunden sein.

Der SQL Server Books Online-Artikel mit weiteren Details lautet "Konfigurieren verknüpfter Server für die Delegierung": http://msdn.Microsoft.com/en-us/library/ms189580 (v = sql.105) .aspx

22
RLF