Podemos ter servidores vinculados ao usar o NTLM?

1

Eu não tenho acesso às configurações do Active Directory, nem tenho acesso para alterar nada no servidor vinculado.

De tudo que eu li, parece que isso significa que não posso usar o Kerberos - o que é um grande problema, porque eu não sei como usar um servidor vinculado sem ele.

Existe alguma maneira de se conectar a um servidor vinculado sem o Kerberos? (ou alguma forma de habilitar o Kerberos sem administração no AD?)

Descrição exata do problema

Quando me conecto ao servidor vinculado enquanto estou sentado na frente do meu servidor , ele funciona bem; mas quando tento me conectar ao servidor vinculado de qualquer outro computador (delegando através do meu servidor), dá o erro:

Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'. (Microsoft SQL Server, Error: 18456)

Parece que este é o " problema de salto duplo , "e a solução usual é habilitar o Kerberos, que requer acesso ao AD e ao servidor vinculado.

Eu recebo o mesmo erro quando defino a segurança como " ser feita usando o contexto de segurança atual do login " e não consigo usar " ser feita usando este contexto de segurança     

por BlueRaja 27.04.2010 / 16:31

4 respostas

4

Este é, na verdade, um caso de delegação restrita (ou seja, 'hop duplo'). Não há nenhuma configuração que você possa alterar, o que faria com que isso funcionasse. Se existir, seria, por definição, um bug, já que isso violaria a política de domínio ao restringir a delegação apenas a contas confiáveis. Então, a menos que você faça o AD mudar para marcar o SQL Server 'no meio' como confiável para delegação, você não conseguirá fazer um salto duplo. E qualquer outro trabalho que eu lhe desse poderia me ajudar a violar suas políticas de domínio. Como parece que você entende o problema técnico, eu recomendo que você bata na porta certa: os mestres do seu domínio e / ou as partes interessadas de suas necessidades.

    
por 27.04.2010 / 19:34
0

Você pode usar sp_addlinkedsrvlogin para mapear um login do Windows no host do SQL Server para um logon do SQL no servidor remoto. Isso não funciona para grupos do Windows.

    
por 27.04.2010 / 16:42
0

Na caixa de diálogo do servidor vinculado, na seção de segurança, você selecionou "Ser feito usando o contexto de segurança atual do logon"?

A sua conta do Windows está configurada no servidor que você está tentando se conectar?

    
por 27.04.2010 / 18:22
0

para usar um servidor vinculado sem o Kerberos, a única opção é Logins do SQL. se essa não é uma opção, você deve tentar consertar a autenticação do kerberos.

Você precisa descobrir qual conta executa o serviço do sql server. se for uma conta de domínio, você deve solicitar que alguém registre o SPN para o usuário.

Se você tiver acesso a qualquer servidor do Windows 2008 no domínio com um usuário de domínio, deverá executar este comando CMD para verificar o que já está registrado (o acesso de leitura é permitido).

setspn -l [sqlservicedomainaccount]

você deve verificar se há setspn -l sqlmachinename e ver se ele está registrado e o sqlserviceaccount. Como esses registros não devem ter itens duplicados, primeiro é necessário remover e registrar o novo.

Em seguida, peça a alguém na rede para registrar este spn (como o serviço precisa ser reiniciado após o registro, você deve fazer isso apenas em uma janela de tempo)

    
por 02.12.2010 / 16:14