DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 909801 - Geändert am: Montag, 2. Oktober 2006 - Version: 2.3

 

Auf dieser Seite

EINFÜHRUNG

Dieser Artikel beschreibt, um sicherzustellen, dass Sie verwenden Kerberos-Authentifizierung als Authentifizierungsmethode Microsoft Windows erstellen Sie eine RAS Verbindung zu einer Instanz von Microsoft SQL Server 2005.

Weitere Informationen

SQL Server 2005 unterstützt Kerberos-Authentifizierung indirekt über die Windows Security Support Provider Interface (SSPI), wenn Sie integrierten Windows-Authentifizierung anstelle der SQL-Authentifizierung verwenden. Allerdings wird SQL Server nur Kerberos-Authentifizierung unter bestimmten Umständen beim verwenden SQL Server das zu verwendende Authentifizierungsprotokoll auszuhandeln SSPI verwenden kann. Wenn SQL Server Kerberos nicht verwenden können Verwendung Windows-Authentifizierung NTLM-Authentifizierung. Aus Gründen der Sicherheit wird es empfohlen, Kerberos-Authentifizierung anstelle der NTLM-Authentifizierung zu verwenden. Administratoren und Benutzer wissen, sollten wie Sie sicherstellen, dass Sie die Kerberos-Authentifizierung für Remoteverbindungen verwenden.

Kerberos-Authentifizierung verwenden, müssen Sie sicherstellen, dass alle folgenden Bedingungen erfüllt sind:
  • Sowohl der Server als auch die Clientcomputer müssen Mitglieder derselben Windows-Domäne oder Mitglieder vertrauenswürdiger Domänen sein.
  • In Active Directory-Verzeichnisdienst muss des Servers dem Dienstprinzipalnamen (SPN) registriert werden.
  • Die Instanz von SQL Server 2005 muss aktivieren, die TCP/IP-Protokoll.
  • Der Client muss auf die Instanz von SQL Server 2005 mit mithilfe des Protokolls TCP/IP herstellen. Beispielsweise können Sie die TCP/IP am oberen Rand des Clients Protokollreihenfolge einfügen. Oder fügen Sie das Präfix "Tcp:" in der Verbindungszeichenfolge angeben, dass die Verbindung das TCP/IP-Protokoll verwendet wird.

Wie Sie in einer Domäne einen SPN registrieren

Wenn Sie einen SPN für SQL Server-Dienst registrieren, erstellen Sie im Wesentlichen eine Zuordnung zwischen einen SPN und die Windows-Konto, das der Server-Instanz-Dienst gestartet.

Sie müssen den SPN registrieren, da der Client einen registrierten SPN verwenden muss, eine Verbindung zu Serverinstanz herzustellen. Der SPN besteht mithilfe der Server ’s Computername und den TCP/IP-Port. Wenn Sie den SPN nicht registrieren, kann der SSPI das Konto ermitteln, das den SPN zugeordnet ist. Kerberos-Authentifizierung wird daher nicht verwendet werden.

Wenn SQL Server unter dem lokalen Systemkonto oder unter einem Domänenadministratorkonto ausgeführt wird, wird die Instanz automatisch registriert den SPN im folgenden Format beim Starten der Instanz:
MSSQLSvc / FQDN: tcpport
Hinweis: FQDN ist der vollqualifizierte Domänenname des Servers. tcpport ist die TCP/IP-Portnummer.

Da die TCP-Anschlussnummer in den SPN enthalten ist, muss SQL Server das Protokoll TCP/IP für einen Benutzer Herstellen einer Verbindung mit der Kerberos-Authentifizierung aktivieren. Die gleichen Regeln gelten für Clusterkonfigurationen. Darüber hinaus Wenn die Instanz automatisch einen SPN, registriert Wenn die Instanz gestartet, werden der SPN nicht registriert automatisch, wenn die Instanz beendet.

Ein Domänenadministratorkonto oder das Konto Lokales System verfügt über die erforderlichen Berechtigungen um einen SPN registrieren. Wenn der SQL Server-Dienst unter einem Konto ohne Administratorrechte gestartet wird, kann nicht SQL Server daher den SPN für die Instanz registrieren. Dieses Verhalten wird nicht die Instanz starten verhindert. Allerdings wird die folgende Meldung im Anwendungsprotokoll der Windows-Ereignisprotokoll protokolliert:

Ereignistyp: Information
Ereignisquelle: MSSQL $ InstanceName
Ereigniskategorie: (2)
Ereignis-ID: 26037
Datum: Date
Uhrzeit: Time
Benutzer: NV
Computer: ComputerName
Beschreibung:
SQL Network Interface Bibliothek konnte des Dienstprinzipalnamens (SPN) für den SQL Server-Dienst nicht registrieren. Fehler: 0x54b. Fehler beim Registrieren eines SPN möglicherweise integrierte Authentifizierung auf NTLM statt Kerberos zurückgreifen. Dies ist eine Informationsmeldung. Weitere Aktion ist nur erforderlich, wenn Kerberos-Authentifizierung von Authentifizierungsrichtlinien erforderlich ist.
Weitere Informationen finden Sie im Hilfe- und Supportcenter unter http://support.microsoft.com.

Wenn diese Meldung protokolliert wird, müssen Sie den SPN für die Instanz unter einem Domänenkonto Administrator für die Kerberos-Authentifizierung manuell registrieren. Um den SPN zu registrieren, können Sie das SetSPN.exe-Tool verwenden, das in Microsoft Windows 2000 Server Resource Kit enthalten ist. Dieses Tool ist auch in der Windows Server 2003-Supporttools enthalten. Windows Server 2003-Supporttools sind in Microsoft Windows Server 2003 Service Pack 1 (SP1) enthalten.

Weitere Informationen zu Windows Server 2003 Service Pack 1 Support Tools finden Sie im folgenden Artikel der Microsoft Knowledge Base:
892777  (http://support.microsoft.com/kb/892777/ ) Windows Server 2003 Service Pack 1 Supporttools
Die können eines Befehls ähnlich der folgenden um einen SPN für eine Instanz zu registrieren:
SetSPN – a MSSQLSvc/<computername><domainname>. <domänenname>: 1433 <accountname>
Hinweis: Wenn ein SPN vorhanden ist, müssen Sie den SPN löschen, bevor Sie neu registrieren können. Sie müssen möglicherweise dazu, wenn die Kontozuordnung geändert hat. Um einen vorhandenen SPN gelöscht, können Sie das SetSPN.exe-Tool zusammen mit dem - D -Schalter verwenden.

Wie Sie sicherstellen können, dass Sie die Kerberos-Authentifizierung verwenden

Nachdem Sie zu einer Instanz von SQL Server 2005 verbunden, führen Sie die folgende Transact-SQL-Anweisung in SQL Server Management Studio:
select auth_scheme from sys.dm_exec_connections where session_id=@@spid
ist mit der Falls SQL Server Kerberos-Authentifizierung, eine Zeichenfolge, die als "KERBEROS" in der Auth_scheme Spalte im Ergebnisfenster erscheint aufgeführt ist.

Informationsquellen

Weitere Informationen finden Sie in die folgenden Themen in der Microsoft SQL Server 2005-Onlinedokumentation :
  • Registrierung von Dienstprinzipalnamen
  • Anleitungen zum Aktivieren der Kerberos-Authentifizierung, einschließlich SQL Server-virtuelle Server auf Server Cluster

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Workgroup Edition
  • Microsoft SQL Server 2005 Express Edition
Keywords: 
kbmt kbsql2005connect kbinfo KB909801 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 909801  (http://support.microsoft.com/kb/909801/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store