DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 909801 - Última revisão: segunda-feira, 2 de outubro de 2006 - Revisão: 2.3

 

Nesta página

INTRODUÇÃO

Este artigo descreve como certificar-se de que você está usando a autenticação Kerberos como um método de autenticação do Microsoft Windows quando você cria uma conexão remota com uma instância do Microsoft SQL Server 2005.

Mais Informações

O SQL Server 2005 oferece suporte a autenticação Kerberos indiretamente por meio a Windows segurança suporte interface do provedor (SSPI) quando você estiver usando autenticação integrada do Windows em vez de autenticação do SQL. No entanto, o SQL Server somente será usar a autenticação Kerberos em determinadas circunstâncias quando SQL Server podem usar SSPI para negociar o protocolo de autenticação a ser usado. Se o SQL Server não puder usar Kerberos autenticação, o Windows irá usar NTLM autenticação. Por motivos de segurança, recomendamos que você use a autenticação Kerberos em vez da autenticação NTLM. Os administradores e usuários devem saber como verificar se eles estão usando a autenticação Kerberos para conexões remotas.

Para usar a autenticação Kerberos, você deve fazer-se de que todas as seguintes condições sejam verdadeiras:
  • Tanto o servidor e os computadores cliente devem ser membros do mesmo domínio do Windows ou membros de domínios confiáveis.
  • Nome principal do serviço do servidor (SPN) deve estar registrado no serviço de diretório do Active Directory.
  • A instância do SQL Server 2005 deve ativar o TCP/IP protocolo.
  • O cliente deve se conectar à instância do SQL Server 2005 usando o protocolo TCP/IP. Por exemplo, você pode colocar o protocolo TCP/IP na parte superior da ordem de protocolo do cliente. Ou você pode adicionar o prefixo "tcp:" na seqüência de conexão para especificar que a conexão será usar o protocolo TCP/IP.

Como registrar um SPN em um domínio

Ao registrar um SPN para um serviço do SQL Server, você basicamente cria um mapeamento entre um SPN e o Windows conta que iniciou o serviço de instância do servidor.

Você deve registrar o SPN porque o cliente deve usar um SPN registrado para se conectar à instância do servidor. O SPN é composto usando o ’s nome do computador servidor e a porta TCP/IP. Se você não registrar o SPN, a SSPI não é possível determinar a conta que está associada com o SPN. Portanto, A autenticação Kerberos não será usada.

Quando o SQL Server está sendo executado sob a conta do sistema local ou em uma conta de administrador de domínio, a instância será automaticamente registrar o SPN no seguinte formato quando a instância é iniciado:
MSSQLSvc / FQDN: tcpport
Observação FQDN é o nome de domínio totalmente qualificado do servidor. tcpport é o número de porta TCP/IP.

Como o número de porta TCP é incluído no SPN, SQL Server deve ativar o protocolo TCP/IP de um usuário se conectar usando a autenticação Kerberos. As regras mesmas se aplicam para configurações de cluster. Além disso, se a instância registrado um SPN automaticamente quando a instância iniciada, o SPN será não registrado automaticamente quando a instância é interrompido.

Somente uma conta de administrador do domínio ou a conta do sistema local possui as permissões necessárias para registrar um SPN. Portanto, se o serviço do SQL Server for iniciado em uma conta de não-administrador, o SQL Server não pode registrar o SPN para a instância. Esse comportamento não irá impedir que a instância seja iniciado. No entanto, a seguinte mensagem será registrada no log de aplicativo do log de eventos do Windows:

Tipo de evento: informações
Origem do evento: MSSQL $ InstanceName
Categoria do evento: (2)
IDENTIFICAÇÃO de evento: 26037
Data: Date
Tempo: Time
Usuário: N/d
Computador: ComputerName
Descrição:
A biblioteca da interface de rede SQL não foi possível registrar o principal de serviço Name (SPN) para o serviço do SQL Server. Erro: 0x54b. Falha ao registrar um SPN pode causar a autenticação integrada para fallback para NTLM em vez de Kerberos. Esta é uma mensagem informativa. Ação adicional é apenas necessário se autenticação é necessária para diretivas de autenticação Kerberos.
Para obter mais informações, consulte o Centro de Ajuda e suporte em http://support.microsoft.com.

Se essa mensagem é registrada, você deve registrar manualmente o SPN para a instância em uma conta de administrador de domínio para usar a autenticação Kerberos. Para registrar o SPN, você pode usar a ferramenta SetSPN.exe incluída com o Windows 2000 Server Resource Kit. Essa ferramenta também está incluída com as ferramentas de suporte Microsoft Windows Server 2003. Ferramentas de suporte do Windows Server 2003 são incluída no Microsoft Windows Server 2003 Service Pack 1 (SP1).

Para obter mais informações sobre como obter as ferramentas de suporte Windows Server 2003 Service Pack 1, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
892777  (http://support.microsoft.com/kb/892777/ ) Ferramentas de suporte do Windows Server 2003 Service Pack 1
Você pode usar um comando que é semelhante à seguinte para registrar um SPN para uma instância:
<computername><domainname> SetSPN –A MSSQLSvc/<nome_do_computador>. <nome_do_domínio>: 1433 <accountname>
Observação Se já existir um SPN, você deve excluir o SPN antes de registrá-lo novamente. Talvez você precise fazer isso se o mapeamento de conta foi alterado. Para excluído um SPN existente, você pode usar a ferramenta SetSPN.exe juntamente com a opção - D .

Como se certificar de que você está usando a autenticação Kerberos

Depois de conectado a uma instância do SQL Server 2005, execute a seguinte instrução Transact-SQL no SQL Server Management Studio:
select auth_scheme from sys.dm_exec_connections where session_id=@@spid
se o SQL Server é usando a autenticação Kerberos, uma seqüência de caracteres que está listada como "KERBEROS" aparece na coluna auth_scheme na janela de resultados.

Referências

Para obter mais informações, consulte os tópicos a seguir no Microsoft SQL Server 2005 Books Online :
  • Registro de nome principal de serviço
  • Como habilitar a autenticação Kerberos incluindo SQL Server clusters de servidores virtuais no servidor

A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Workgroup Edition
  • Microsoft SQL Server 2005 Express Edition
Palavras-chave: 
kbmt kbsql2005connect kbinfo KB909801 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 909801  (http://support.microsoft.com/kb/909801/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store