Freigeben über

Probleme mit konsistenter Authentifizierung in SQL Server

  • Artikel

Gilt für: SQL Server

Hinweis

Die in diesem Artikel bereitgestellten Befehle gelten nur für Windows-Systeme.

Konsistente Authentifizierungsprobleme, die in Microsoft SQL Server auftreten, beziehen sich in der Regel auf die Authentifizierung und Autorisierung von Benutzern oder Anwendungen, die versuchen, auf die SQL Server-Datenbank zuzugreifen. Diese Probleme können Authentifizierungsfehler, Fehler beim verweigerten Zugriff oder andere sicherheitsbezogene Probleme sein.

Der Schlüssel zur effektiven Behebung konsistenter Authentifizierungsprobleme besteht darin, die verschiedenen Fehlertypen und die Bedeutung der einzelnen Fehlermeldungen zu verstehen. Einige Fehler können in mehr als einem Authentifizierungsproblem auftreten. Sie können die Informationen zur Problembehandlung im Abschnitt Fehlertypen verwenden, um den Fehler zu beheben.

Voraussetzungen

Bevor Sie mit der Problembehandlung beginnen, müssen Sie die Checkliste für die Voraussetzungen durcharbeiten, um die folgenden Informationen bereit zu haben:

Fehlertypen

In diesem Abschnitt werden Fehlertypen und zugehörige Informationen beschrieben.

  • Verzeichnisdienstfehler: Wenn die SQL Server-Fehlerprotokolldatei eine oder beide der folgenden Meldungen enthält, bezieht sich dieser Fehler auf Active Directory Domain Services (AD DS). Dieser Fehler kann auch auftreten, wenn Windows auf dem SQL Server-basierten Computer keine Verbindung mit dem Domänencontroller (DC) herstellen kann oder wenn beim Lokalen Sicherheitsautoritätssubsystemdienst (Local Security Authority Subsystem Service, LSASS) ein Problem auftritt.

    Error -2146893039 (0x80090311): No authority could be contacted for authentication.
Error -2146893052 (0x80090304): The Local Security Authority cannot be contacted.

  • Fehler bei der Anmeldung: Wenn Sie den Fehler "Anmeldung fehlgeschlagen" beheben, bietet das SQL Server-Fehlerprotokoll zusätzliche Einblicke in den Fehlercode 18456, einschließlich eines bestimmten Zustandswerts, der mehr Kontext zum Fehler bietet. Weitere Informationen finden Sie in der SQL Server-Fehlerprotokolldatei im SQL-Zustandswert. Sie können versuchen, das Problem entsprechend der Beschreibung des Zustandswerts zu beheben.

    In der folgenden Tabelle sind einige spezifische Fehlermeldungen vom Typ "Anmeldung fehlgeschlagen" sowie deren mögliche Ursachen und Lösungen aufgeführt.

    Fehlermeldung Weitere Informationen
    "Beim Senden der Anforderung an den Server ist ein Fehler auf Transportebene aufgetreten." Überprüfen Sie, ob die Zuordnung des Verbindungsserverkontos korrekt ist. Weitere Informationen finden Sie unter sp_addlinkedsrvlogin.
    "SSPI-Kontext kann nicht generiert werden"
    "Der von der Anmeldung angeforderte Datenbanktest <> kann nicht geöffnet werden. Fehler bei der Anmeldung." Die Datenbank ist möglicherweise offline, oder die Berechtigungen sind möglicherweise nicht ausreichend. Weitere Informationen finden Sie unter Offline-Datenbank in MSSQLSERVER_18456.
    Überprüfen Sie außerdem, ob der Datenbankname in der Verbindungszeichenfolge richtig ist.
    "Fehler bei der Anmeldung für den Benutzerbenutzernamen<>." Dieser Fehler kann auftreten, wenn das Proxykonto nicht ordnungsgemäß authentifiziert ist.
    "Fehler bei der Anmeldung für Benutzer: 'NT AUTHORITY\ANONYMOUS LOGON'" Dieser Fehler kann auftreten, wenn der SPN fehlt, der SPN dupliziert wird oder sich der SPN im falschen Konto befindet.
    "Fehler bei der Anmeldung für den Benutzerbenutzernamen<>."
    "Fehler bei der Anmeldung für den Benutzer '<database\username>"
    		 Überprüfen Sie, ob die Verbindungszeichenfolge einen falschen Servernamen enthält. Überprüfen Sie außerdem, ob der Benutzer zu einer lokalen Gruppe gehört, die verwendet wird, um Zugriff auf den Server zu gewähren. Weitere Ursachen finden Sie unter NT AUTHORITY\ANONYMOUS LOGON.
    "Fehler bei der Anmeldung für den Benutzer '<Benutzername>'. Ursache: Das Kennwort stimmte nicht mit dem kennwort für die angegebene Anmeldung überein." Dieser Fehler kann auftreten, wenn ein falsches Kennwort verwendet wird. Weitere Informationen finden Sie unter Fehler bei der Anmeldung für den Benutzer "Benutzername>"< oder Fehler bei der Anmeldung für den Benutzer "Domänenbenutzername><>"<.
    "SQL Server ist nicht vorhanden oder zugriff verweigert." Named Pipes-Verbindungen schlagen fehl, da der Benutzer nicht über die Berechtigung zum Anmelden bei Windows verfügt.
    "Die Anmeldung stammt aus einer nicht vertrauenswürdigen Domäne und kann nicht mit der Windows-Authentifizierung verwendet werden." Dieser Fehler kann auf probleme mit dem lokalen Sicherheitssubsystem zurückzuführen sein.
    "Das Benutzerkonto ist der Netzwerkanmeldungstyp nicht zulässig." Möglicherweise können Sie sich nicht beim Netzwerk anmelden.

Arten von Problemen mit der konsistenten Authentifizierung

In diesem Abschnitt werden die typischen Ursachen für konsistente Authentifizierungsprobleme zusammen mit den jeweiligen Lösungen beschrieben. Wählen Sie den Problemtyp aus, um die relevanten Probleme, Ursachen und Lösungen anzuzeigen.

Verbindungszeichenfolge

In diesem Abschnitt werden die Probleme im Zusammenhang mit Konfigurationseinstellungen aufgeführt, die von Anwendungen zum Herstellen einer Verbindung mit einer Datenbank verwendet werden.

Datenbank

In diesem Abschnitt werden die Probleme aufgeführt, die für verschiedene Aspekte von SQL Server spezifisch sind:

  • Datenbank ist offline : Bezieht sich auf ein Szenario, in dem eine SQL Server-Datenbank versucht, eine erneute Verbindung mit einer SQL Server-Instanz herzustellen, die für den Windows-Authentifizierungsmodus konfiguriert ist.

    Lösung: Weitere Informationen finden Sie unter MSSQLSERVER_18456.

  • Datenbankberechtigungen : Bezieht sich auf das Aktivieren oder Einschränken des Zugriffs auf eine SQL Server-Datenbank.

    Lösung: Weitere Informationen finden Sie unter MSSQLSERVER_18456.

  • Verbindungsfehler bei Verbindungsservern in SQL Server : Es tritt ein Problem mit dem Authentifizierungsprozess auf, das verbindungsserver im Kontext von SQL Server betrifft.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter Verbindungsfehler bei Verbindungsservern in SQL Server.

  • Metadaten des Verbindungsservers sind inkonsistent : Bezieht sich auf ein Problem, bei dem metadaten des Verbindungsservers inkonsistent sind oder nicht mit den erwarteten Metadaten übereinstimmen.

    Eine Sicht oder gespeicherte Prozedur fragt die Tabellen oder Sichten auf dem Verbindungsserver ab, empfängt jedoch Anmeldefehler, obwohl eine verteilte SELECT Anweisung, die aus der Prozedur kopiert wird, dies nicht tut.

    Dieses Problem kann auftreten, wenn die Ansicht erstellt und dann der Verbindungsserver neu erstellt wurde oder wenn eine Remotetabelle geändert wurde, ohne die Ansicht neu zu erstellen.

    Lösung: Aktualisieren Sie die Metadaten des Verbindungsservers, indem Sie die sp_refreshview gespeicherte Prozedur ausführen.

  • Proxykonto verfügt nicht über Berechtigungen : Ein SQL Server Integration Service-Auftrag (SSIS), der vom SQL-Agent ausgeführt wird, erfordert möglicherweise andere Berechtigungen als die, die das SQL-Agent-Dienstkonto bereitstellen kann.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter SSIS-Paket wird nicht ausgeführt, wenn es aus einem SQL Server-Agent-Auftragsschritt aufgerufen wird.

  • Anmeldung bei SQL Server-Datenbank nicht möglich : Die Unfähigkeit, sich anzumelden, kann zu Fehlern bei der Authentifizierung führen.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter MSSQLSERVER_18456.

Verzeichnisdienste

In diesem Abschnitt werden die Probleme im Zusammenhang mit Verzeichnisdiensten und -servern aufgeführt.

  • Ein Konto ist deaktiviert : Dieses Szenario kann auftreten, wenn das Benutzerkonto von einem Administrator oder einem Benutzer deaktiviert wurde. In diesem Fall können Sie sich nicht mit diesem Konto anmelden oder dieses Konto nicht verwenden, um einen Dienst zu starten. Dies kann zu konsistenten Authentifizierungsproblemen führen, da Sie nicht auf Ressourcen zugreifen oder Aktionen ausführen können, die eine Authentifizierung erfordern.

    Lösung: Ein Domänenadministrator kann dies beheben, indem er das Konto erneut aktiviert. Wenn ein Konto deaktiviert ist, liegt dies in der Regel daran, dass ein Benutzer zu oft versucht hat, sich mit dem falschen Kennwort anzumelden, oder weil eine Anwendung oder ein Dienst versucht, ein altes Kennwort zu verwenden.

  • Ein Konto ist nicht in der Gruppe : Dieses Problem kann auftreten, wenn ein Benutzer versucht, auf eine Ressource zuzugreifen, die auf eine bestimmte Gruppe beschränkt ist.

    Lösung: Überprüfen Sie die SQL-Anmeldungen, um zulässige Gruppen aufzulisten, und stellen Sie sicher, dass der Benutzer zu einer der Gruppen gehört.

  • Fehler bei der Kontomigration : Wenn alte Benutzerkonten keine Verbindung mit dem Server herstellen können, aber neu erstellte Konten dies können, ist die Kontomigration möglicherweise nicht korrekt. Dieses Problem bezieht sich auf AD DS.

    Lösung: Weitere Informationen finden Sie unter Übertragen von Anmeldungen und Kennwörtern zwischen Instanzen von SQL Server.

  • Domänencontroller ist offline : Bezieht sich auf ein Problem, bei dem auf den Domänencontroller nicht zugegriffen werden kann.

    Lösung: Verwenden Sie den nltest Befehl, um zu erzwingen, dass der Computer zu einem anderen Domänencontroller wechselt. Weitere Informationen finden Sie unter Active Directory-Replikationsereignis-ID 2087: Dns-Lookupfehler verursachte Replikationsfehler.

  • Firewall blockiert den Domänencontroller : Möglicherweise treten Probleme auf, wenn Sie den Zugriff des Benutzers auf Ressourcen verwalten.

    Lösung: Stellen Sie sicher, dass vom Client oder Server aus auf den Domänencontroller zugegriffen werden kann. Verwenden Sie dazu den nltest /SC_QUERY:CONTOSO Befehl.

  • Anmeldung von einer nicht vertrauenswürdigen Domäne : Dieses Problem bezieht sich auf die Vertrauensstufe zwischen Domänen. Möglicherweise wird die folgende Fehlermeldung angezeigt: "Fehler bei der Anmeldung. Die Anmeldung stammt aus einer nicht vertrauenswürdigen Domäne und kann nicht mit der Windows-Authentifizierung verwendet werden. (18452)."

    Fehler 18452 gibt an, dass die Anmeldung die Windows-Authentifizierung verwendet, aber die Anmeldung ein unbekannter Windows-Prinzipal ist. Ein unbekannter Windows-Prinzipal gibt an, dass die Anmeldung nicht von Windows überprüft werden kann. Dies kann auftreten, weil die Windows-Anmeldung aus einer nicht vertrauenswürdigen Domäne stammt. Die Vertrauensebene zwischen Domänen kann zu Fehlern bei der Kontoauthentifizierung oder der Sichtbarkeit von Dienstanbieternamen (Service Provider Name, SPN) führen.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter MSSQLSERVER_18452.

  • Keine Berechtigungen für domänenübergreifende Gruppen : Benutzer aus der Remotedomäne sollten zu einer Gruppe in der SQL Server-Domäne gehören. Möglicherweise liegt ein Problem vor, wenn Sie versuchen, eine lokale Domänengruppe zu verwenden, um eine Verbindung mit einer SQL Server-Instanz aus einer anderen Domäne herzustellen.

    Lösung: Wenn die Domänen nicht ordnungsgemäß vertrauenswürdig sind, kann das Hinzufügen der Benutzer in einer Gruppe in der Remotedomäne verhindern, dass der Server die Mitgliedschaft der Gruppe aufzählt.

  • Selektive Authentifizierung ist deaktiviert : Bezieht sich auf ein Feature von Domänenvertrauensstellungen, mit dem der Domänenadministrator einschränken kann, welche Benutzer Zugriff auf Ressourcen in der Remotedomäne haben. Wenn die selektive Authentifizierung nicht aktiviert ist, können alle Benutzer in der vertrauenswürdigen Domäne Zugriff auf die Remotedomäne erhalten.

    Lösung: Um dieses Problem zu beheben, aktivieren Sie die selektive Authentifizierung, um sicherzustellen, dass die Benutzer sich nicht in der Remotedomäne authentifizieren dürfen.

Kerberos-Authentifizierung

In diesem Abschnitt werden die Probleme im Zusammenhang mit der Kerberos-Authentifizierung aufgeführt:

  • Dem NetBIOS-Namen wird ein falsches DNS-Suffix angefügt . Dieses Problem kann auftreten, wenn Sie nur den NetBIOS-Namen (z. B. SQLPROD01) anstelle des vollqualifizierten Domänennamens (FQDN) verwenden (z. B. SQLPROD01.CONTOSO.COM). In diesem Fall wird möglicherweise das falsche DNS-Suffix angefügt.

    Lösung: Überprüfen Sie die Netzwerkeinstellungen auf die Standardsuffixe, um sicherzustellen, dass sie korrekt sind, oder verwenden Sie den FQDN, um Probleme zu vermeiden.

  • Uhrschiefe ist zu hoch : Dieses Problem kann auftreten, wenn mehrere Geräte in einem Netzwerk nicht synchronisiert werden. Damit die Kerberos-Authentifizierung funktioniert, können die Uhren zwischen Geräten nicht länger als fünf Minuten deaktiviert werden, oder es können konsistente Authentifizierungsfehler auftreten.

    Lösung: Richten Sie die Computer so ein, dass sie ihre Uhren regelmäßig mit einem zentralen Zeitdienst synchronisieren.

  • Delegieren vertraulicher Konten an andere Dienste : Einige Konten werden in AD DS möglicherweise als Sensitive gekennzeichnet. Diese Konten können in einem Double-Hop-Szenario nicht an einen anderen Dienst delegiert werden. Sensible Konten sind für die Sicherheit von entscheidender Bedeutung, sie können sich jedoch auf die Authentifizierung auswirken.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter Fehler bei der Anmeldung für Benutzer NT AUTHORITY\ANONYMOUS LOGON.

  • Delegieren an eine Dateifreigabe : Bezieht sich auf eine Situation, in der ein Benutzer oder eine Anwendung seine Anmeldeinformationen delegiert, um auf eine Dateifreigabe zuzugreifen. Ohne entsprechende Einschränkungen kann das Delegieren von Anmeldeinformationen an eine Dateifreigabe Sicherheitsrisiken darstellen.

    Lösung: Um dieses Problem zu beheben, stellen Sie sicher, dass Sie die eingeschränkte Delegierung verwenden.

  • Nicht zusammenhängender DNS-Namespace : Bezieht sich auf ein Problem mit konsistenter Authentifizierung, das auftreten kann, wenn das DNS-Suffix nicht zwischen dem Domänenmitglied und DNS übereinstimmt. Bei Verwendung eines nicht zusammenhängenden Namespaces können Authentifizierungsprobleme auftreten. Wenn die Organisationshierarchie in AD DS und dns nicht übereinstimmt, wird möglicherweise der falsche SPN generiert, wenn Sie den NETBIOS-Namen in der Verbindungszeichenfolge der Datenbankanwendung verwenden. In diesem Fall wird der SPN nicht gefunden, und ntlm-Anmeldeinformationen (New Technology LAN Manager) werden anstelle von Kerberos-Anmeldeinformationen verwendet.

    Lösung: Um das Problem zu beheben, verwenden Sie den FQDN des Servers, oder geben Sie den SPN-Namen in der Verbindungszeichenfolge an. Informationen zum FQDN finden Sie unter Computerbenennung.

  • Doppelter SPN : Bezieht sich auf eine Situation, in der mindestens zwei SPNs innerhalb einer Domäne identisch sind. SPNs werden verwendet, um Dienste eindeutig zu identifizieren, die auf Servern in einer Windows-Domäne ausgeführt werden. Doppelte SPNs können Authentifizierungsprobleme verursachen.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter Beheben des Fehlers mit dem Kerberos-Konfigurations-Manager (empfohlen).

  • Aktivieren von HTTP-Ports für SPNs : In der Regel verwenden HTTP-SPNs keine Portnummern (z. B http/web01.contoso.com. ).

    Lösung: Um dieses Problem zu beheben, können Sie dies mithilfe der Richtlinie auf den Clients aktivieren. Der SPN muss dann im http/web01.contoso.com:88 Format vorliegen, damit Kerberos ordnungsgemäß funktioniert. Andernfalls werden NTLM-Anmeldeinformationen verwendet.

    NTLM-Anmeldeinformationen werden nicht empfohlen, da sie die Diagnose des Problems erschweren können. Außerdem kann diese Situation zu einem übermäßigen Verwaltungsaufwand führen.

  • Abgelaufene Tickets : Bezieht sich auf Kerberos-Tickets. Die Verwendung abgelaufener Kerberos-Tickets kann zu Authentifizierungsproblemen führen.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter Abgelaufene Tickets.

  • HOSTS-Datei ist falsch : Die HOSTS-Datei kann DNS-Lookups stören und einen unerwarteten SPN-Namen generieren. In diesem Fall werden NTLM-Anmeldeinformationen verwendet. Wenn sich in der HOSTS-Datei eine unerwartete IP-Adresse befindet, stimmt der generierte SPN möglicherweise nicht mit dem Back-End-Server überein, auf den verwiesen wird.

    Lösung: Überprüfen Sie die HOSTS-Datei, und entfernen Sie die Einträge für Ihren Server. HOSTS-Dateieinträge werden im SQLCHECK-Bericht angezeigt.

  • Problem mit Berechtigungen pro Dienstsicherheits-ID (SID): Pro-Dienst-SID ist ein Sicherheitsfeature von SQL Server, das lokale Verbindungen auf die Verwendung von NTLM und nicht auf Kerberos als Authentifizierungsmethode beschränkt. Der Dienst kann einen einzelnen Hop mit NTLM-Anmeldeinformationen zu einem anderen Server ausführen, aber er kann nicht weiter delegiert werden, ohne die eingeschränkte Delegierung zu verwenden. Weitere Informationen finden Sie unter Fehler bei der Anmeldung für den Benutzer NT AUTHORITY\ANONYMOUS LOGON.

    Lösung: Um dieses Problem zu beheben, muss der Domänenadministrator die eingeschränkte Delegierung einrichten.

  • Kernelmodusauthentifizierung : Der SPN für das App-Poolkonto ist in der Regel für Webserver erforderlich. Wenn jedoch die Kernelmodusauthentifizierung verwendet wird, wird der HOST-SPN des Computers für die Authentifizierung verwendet. Diese Aktion findet im Kernel statt. Diese Einstellung kann verwendet werden, wenn der Server viele verschiedene Websites hostet, die dieselbe Hostheader-URL, unterschiedliche App-Poolkonten und die Windows-Authentifizierung verwenden.

    Lösung: Entfernen Sie die HTTP-SPNs, wenn die Kernelmodusauthentifizierung aktiviert ist.

  • Delegierungsrechte auf Access oder Excel beschränken : Die Jet-Anbieter (Joint Engine Technology) und Access Connectivity Engine (ACE) ähneln jedem der Dateisysteme. Sie müssen die eingeschränkte Delegierung verwenden, damit SQL Server Dateien lesen kann, die sich auf einem anderen Computer befinden. Im Allgemeinen sollte der ACE-Anbieter nicht auf einem Verbindungsserver verwendet werden, da dies explizit nicht unterstützt wird. Der JET-Anbieter ist veraltet und nur auf 32-Bit-Computern verfügbar.

    Hinweis

    Wenn SQL Server 2014, die letzte Version, die 32-Bit-Installationen unterstützt, nicht mehr unterstützt wird, wird das JET-Szenario nicht mehr unterstützt.

  • Fehlender SPN : Dieses Problem kann auftreten, wenn ein SPN, der sich auf eine SQL Server-Instanz bezieht, fehlt.

    Lösung: Weitere Informationen finden Sie unter Beheben des Fehlers mit dem Kerberos-Konfigurations-Manager (empfohlen).

  • Kein eingeschränktes Ziel : Wenn die eingeschränkte Delegierung für ein bestimmtes Dienstkonto aktiviert ist, schlägt Kerberos fehl, wenn der SPN des Zielservers nicht in der Liste der Ziele der eingeschränkten Delegierung enthalten ist.

    Lösung: Um dieses Problem zu beheben, muss ein Domänenadministrator den SPN des Zielservers den Ziel-SPNs des Mid-Tier-Dienstkontos hinzufügen.

  • NTLM und eingeschränkte Delegierung : Wenn es sich bei dem Ziel um eine Dateifreigabe handelt, muss der Delegierungstyp des Mid-Tier-Dienstkontos Eingeschränkt-Alle und nicht Eingeschränkt-Kerberos sein. Wenn der Delegierungstyp auf Constrained-Kerberos festgelegt ist, kann das Konto der mittleren Ebene nur bestimmten Diensten zuordnen, aber Constrained-Any ermöglicht es dem Dienstkonto, an einen beliebigen Dienst zu delegieren.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter Fehler bei der Anmeldung für Benutzer NT AUTHORITY\ANONYMOUS LOGON.

  • Dienstkonto kann nicht für die Delegierung in AD vertrauenswürdig sein : In einem Double-Hop-Szenario muss das Dienstkonto des Diensts der mittleren Ebene für die Delegierung in AD DS vertrauenswürdig sein. Wenn das Dienstkonto für die Delegierung nicht vertrauenswürdig ist, kann die Kerberos-Authentifizierung fehlschlagen.

    Lösung: Wenn Sie administrator sind, aktivieren Sie die Option Vertrauenswürdig für Delegierung .

  • Einige Legacyanbieter unterstützen Kerberos über Named Pipes nicht : Der ältere OLE DB-Anbieter (SQLOLEDB) und der ODBC-Anbieter (SQL Server), die mit Windows gebündelt sind, bieten keine Unterstützung für die Kerberos-Authentifizierung über Named Pipes. Stattdessen unterstützen sie nur die NTLM-Authentifizierung.

    Lösung: Verwenden Sie eine TCP-Verbindung, um die Kerberos-Authentifizierung zuzulassen. Sie können auch einen neueren Treiber verwenden, z. B. MSOLEDBSQL oder ODBC Driver 17. TCP wird jedoch immer noch vor Named Pipes bevorzugt, unabhängig von der Version des Treibers.

  • SpN ist einem falschen Konto zugeordnet : Dieses Problem kann auftreten, wenn ein SPN dem falschen Konto in AD DS zugeordnet ist. Weitere Informationen finden Sie unter Beheben des Fehlers mit dem Kerberos-Konfigurations-Manager (empfohlen).

    Möglicherweise erhalten Sie eine Fehlermeldung, wenn Ihr SPN für das falsche Konto in AD DS konfiguriert ist.

    Lösung: Führen Sie die folgenden Schritte aus, um den Fehler zu beheben:

    1. Verwenden Sie SETSPN -Q spnName , um den SPN und sein aktuelles Konto zu suchen.
    2. Verwenden Sie SETSPN -D , um die vorhandenen SPNs zu löschen.
    3. Verwenden Sie , SETSPN -S um den SPN zum richtigen Konto zu migrieren.

  • SQL-Alias funktioniert möglicherweise nicht ordnungsgemäß . Ein SQL Server-Alias kann dazu führen, dass ein unerwarteter SPN generiert wird. Dies führt dazu, dass NTLM-Anmeldeinformationen fehlschlagen, wenn der SPN nicht gefunden wird, oder ein SSPI-Fehler, wenn er versehentlich mit dem SPN eines anderen Servers übereinstimmt.

    Lösung: SQL-Aliase werden im SQLCHECK-Bericht angezeigt. Um das Problem zu beheben, identifizieren und korrigieren Sie alle falschen oder falsch konfigurierten SQL-Aliase, sodass sie auf die richtige SQL Server-Instanz verweisen.

  • Benutzer gehört zu vielen Gruppen : Wenn ein Benutzer zu mehreren Gruppen gehört, können Authentifizierungsprobleme in Kerberos auftreten. Wenn Sie Kerberos über UDP verwenden, muss das gesamte Sicherheitstoken in ein einzelnes Paket passen. Benutzer, die zu vielen Gruppen gehören, verfügen über ein größeres Sicherheitstoken als Benutzer, die zu weniger Gruppen gehören.

    Lösung: Wenn Sie Kerberos über TCP verwenden, können Sie die Einstellung [MaxTokenSize] erhöhen. Weitere Informationen finden Sie unter MaxTokenSize und Kerberos Token Bloat.

  • Websitehostheader verwenden : Der HTTP-Hostheader spielt eine sehr wichtige Rolle im HTTP-Protokoll für den Zugriff auf Webseiten.

    Lösung: Wenn die Website über einen Hostheadernamen verfügt, kann der HOST-SPN nicht verwendet werden. Ein expliziter HTTP-SPN muss verwendet werden. Wenn die Website keinen Hostheadernamen hat, wird NTLM verwendet. NTLM kann nicht an eine Back-End-SQL Server-Instanz oder einen anderen Dienst delegiert werden.

NT LAN Manager (NTLM)

In diesem Abschnitt werden probleme aufgeführt, die spezifisch für NTLM (NT LAN Manager) sind:

  • Der Zugriff wird für NTLM-Peeranmeldungen verweigert : Bezieht sich auf ein Problem, das mit NTLM-Peeranmeldungen zusammenhängt.

    Lösung: Bei der Kommunikation zwischen Computern, die sich in Arbeitsstationen oder Domänen befinden, die einander nicht vertrauen, können Sie identische Konten auf beiden Computern einrichten und die NTLM-Peerauthentifizierung verwenden.

    Anmeldungen funktionieren nur, wenn sowohl das Benutzerkonto als auch das Kennwort auf beiden Computern übereinstimmen. Die NTLM-Authentifizierung kann auf Client- oder Serverseite deaktiviert oder nicht unterstützt werden. Diese Situation kann zu Authentifizierungsfehlern führen. Weitere Informationen finden Sie unter MSSQLSERVER_18456.

  • Szenarien mit doppeltem Hop auf mehreren Computern : Ein Double-Hop-Prozess schlägt fehl, wenn NTLM-Anmeldeinformationen verwendet werden. Kerberos-Anmeldeinformationen sind erforderlich.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter Fehler bei der Anmeldung für Benutzer NT AUTHORITY\ANONYMOUS LOGON.

  • Der Loopbackschutz ist nicht richtig festgelegt : Loopbackschutz wurde entwickelt, um zu verhindern, dass Anwendungen andere Dienste auf demselben Computer aufrufen. Wenn der Loopbackschutz nicht ordnungsgemäß konfiguriert ist oder eine Fehlfunktion auftritt, kann dies indirekt zu Authentifizierungsproblemen führen.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter MSSQLSERVER_18456.

  • Loopbackschutz schlägt fehl, wenn Sie eine Verbindung mit dem Always-On-Listener herstellen . Dieses Problem bezieht sich auf den Loopbackschutz. Wenn Sie vom primären Knoten aus eine Verbindung mit dem Always-On Listener herstellen, verwendet die Verbindung die NTLM-Authentifizierung.

    Lösung: Weitere Informationen finden Sie unter MSSQLSERVER_18456.

  • Problem, das sich auf den LANMAN-Kompatibilitätsgrad auswirkt : Das Lan-Manager(LANMAN)-Authentifizierungsproblem tritt in der Regel auf, wenn ein Konflikt in den Authentifizierungsprotokollen besteht, die von älteren Computern (vor Windows Server 2008) und neueren Computern verwendet werden. Wenn Sie den Kompatibilitätsgrad auf 5 festlegen, ist NTLMv2 nicht zulässig.

    Lösung: Wenn Sie zu Kerberos wechseln, wird dieses Problem vermieden, da Kerberos sicherer ist. Weitere Informationen finden Sie unter Fehler bei der Anmeldung für den Benutzer NT AUTHORITY\ANONYMOUS LOGON.

SQL-Anmeldung

In diesem Abschnitt werden Probleme im Zusammenhang mit Anmeldeinformationen für die Authentifizierung aufgeführt:

  • Ungültiges Kennwort : Bezieht sich auf ein Problem im Zusammenhang mit der Anmeldung.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter MSSQLSERVER_18456.

  • Ungültiger Benutzername : Bezieht sich auf ein Anmeldeproblem.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter MSSQLSERVER_18456.

  • SQL Server-Anmeldungen sind nicht aktiviert : Bezieht sich auf ein Szenario, in dem Sie versuchen, mithilfe der SQL Server-Authentifizierung eine Verbindung mit einer Microsoft SQL Server-Instanz herzustellen, die dem Konto zugeordnete Anmeldung jedoch deaktiviert ist.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter MSSQLSERVER_18456.

  • Named Pipes-Verbindungen schlagen fehl, da der Benutzer nicht über die Berechtigung zum Anmelden bei Windows verfügt: Bezieht sich auf ein Berechtigungsproblem in Windows.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter Problem mit Named Pipes-Verbindungen in SQL Server.

Windows-Berechtigungen

In diesem Abschnitt werden Probleme aufgeführt, die spezifisch für Windows-Berechtigungen oder Richtlinieneinstellungen sind:

  • Zugriff wird über lokale Gruppen gewährt : Wenn der Benutzer nicht zu einer lokalen Gruppe gehört, die zum Gewähren des Zugriffs auf den Server verwendet wird, zeigt der Anbieter die Fehlermeldung "Fehler bei der Anmeldung für benutzer 'contoso/user1'" an.

    Lösung: Der Datenbankadministrator kann diese Situation überprüfen, indem er den OrdnerSicherheitsanmeldungen> in SQL Server Management Studio (SSMS) untersucht. Wenn es sich bei der Datenbank um eine eigenständige Datenbank handelt, überprüfen Sie unter databasename. Weitere Informationen finden Sie unter Fehler bei der Anmeldung für den Benutzer "Benutzername>"< oder Fehler bei der Anmeldung für den Benutzer "<Domäne>\<Benutzername>".

  • Credential Guard ist aktiviert : Dieses Szenario gibt an, dass das Credential Guard-Feature auf einem Windows-System aktiviert ist und verwendet wird, um eine sichere Umgebung zum Speichern vertraulicher Informationen zu erstellen. In bestimmten Situationen kann dieses Feature jedoch zu Authentifizierungsproblemen führen.

    Lösung: Bitten Sie einen Domänenadministrator, die eingeschränkte Delegierung einzurichten, um dieses Problem zu beheben. Weitere Informationen finden Sie unter Überlegungen und bekannte Probleme bei der Verwendung von Credential Guard.

  • Lokale Sicherheitssubsystemfehler : Wenn lokale Sicherheitssubsystemfehler auftreten, insbesondere solche, die damit verknüpft sind, dass LSASS nicht mehr reagiert, kann dies auf zugrunde liegende Probleme hinweisen, die sich auf die Authentifizierung auswirken.

    Lösung: Informationen zum Beheben dieser Fehler finden Sie unter Lokale Sicherheitssubsystemfehler in SQL Server.

  • Netzwerkanmeldung nicht zulässig : Dieses Szenario tritt auf, wenn Sie versuchen, sich bei einem Netzwerk anzumelden, Ihre Anmeldeanforderung jedoch aus bestimmten Gründen abgelehnt wird.

    Lösung: Informationen zum Beheben dieses Problems finden Sie unter Benutzer hat keine Berechtigungen zum Anmelden beim Netzwerk.

  • Nur Administratoren können sich anmelden : Dieses Problem tritt auf, wenn das Sicherheitsprotokoll auf einem Computer voll ist und nicht über genügend Speicherplatz zum Ausfüllen von Ereignissen verfügt. Das Sicherheitsfeature CrashOnAuditFail wird von Systemadministratoren verwendet, um alle Sicherheitsereignisse zu überprüfen. Die gültigen Werte für CrashOnAuditFail sind 0, 1 und 2. Wenn der Schlüssel für CrashOnAuditFail auf 2 festgelegt ist, bedeutet dies, dass das Sicherheitsprotokoll voll ist und die Fehlermeldung "Nur Administratoren können sich anmelden" angezeigt wird.

    Lösung: Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

    1. Starten Sie den Registrierungs-Editor.
    2. Suchen Sie den HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa!crashonauditfail Unterschlüssel, und überprüfen Sie ihn, um festzustellen, ob der Wert auf 2 festgelegt ist. Dieser Wert gibt an, dass das Sicherheitsprotokoll manuelles Löschen erfordert.
    3. Legen Sie den Wert auf 0 fest, und starten Sie dann den Server neu. Sie können auch das Sicherheitsprotokoll ändern, um ein Rollover für Ereignisse zu ermöglichen. Weitere Informationen dazu, wie sich die Einstellung auf alle Dienste wie SQL, IIS, Dateifreigabe und Anmeldung auswirkt, finden Sie unter Benutzer können nicht auf Websites zugreifen, wenn das Sicherheitsereignisprotokoll voll ist.

    Hinweis

    Dieses Problem betrifft nur integrierte Anmeldungen. Eine Named Pipes-Verbindung ist auch in einer SQL Server-Anmeldung betroffen, da Named Pipes sich zuerst bei Windows Admin Pipe anmeldet, bevor eine Verbindung mit SQL Server hergestellt wird.

  • Dienstkonto ist für die Delegierung nicht vertrauenswürdig : Dieses Problem tritt in der Regel auf, wenn ein Dienstkonto anderen Servern keine Anmeldeinformationen zuweisen darf. Dieses Problem kann sich auf Dienste auswirken, für die eine Delegierung erforderlich ist.

    Lösung: Wenn ein Delegierungsszenario nicht aktiviert ist, überprüfen Sie die SQL Server-Datei secpol.msc , um festzustellen, ob das SQL Server-Dienstkonto unter den Einstellungen für die Sicherheitsrichtlinie " Lokale Richtlinien > : Zuweisung > von Benutzerrechten die Identität eines Clients annehmen " aufgeführt ist. Weitere Informationen finden Sie unter Aktivieren der Vertrauenswürdigung von Computer- und Benutzerkonten für die Delegierung.

  • Windows-Benutzerprofil kann nicht in SQL Server geladen werden : Bezieht sich auf das Windows-Benutzerprofilproblem.

    Lösung: Weitere Informationen zur Problembehandlung bei beschädigten Benutzerprofilen finden Sie unter Windows-Benutzerprofil kann nicht in SQL Server geladen werden.

Weitere Aspekte

In diesem Abschnitt werden Probleme im Zusammenhang mit der Authentifizierung und Zugriffssteuerung in einer Webumgebung aufgeführt:

  • Integrierte Authentifizierung ist nicht aktiviert : Bezieht sich auf ein Konfigurationsproblem, bei dem die integrierte Windows-Authentifizierung (IWA) nicht ordnungsgemäß konfiguriert ist.

    Lösung: Um dieses Problem zu beheben, stellen Sie sicher, dass die Option Integrierte Windows-Authentifizierung in den Einstellungen für Internetoptionen aktiviert ist.

  • IIS-Authentifizierung ist nicht zulässig : Dieses Problem tritt aufgrund von Fehlkonfigurationen in IIS auf. Die in der Web.config-Datei der Webanwendung definierten Authentifizierungseinstellungen können mit den in IIS konfigurierten Einstellungen in Konflikt stehen. Diese Situation kann zu Authentifizierungsproblemen führen.

    Lösung: Um dieses Problem zu beheben, konfigurieren Sie die Website so, dass die Windows-Authentifizierung aktiviert wird, und legen Sie den <identity impersonate="true"/> Wert in der Web.config-Datei fest.

  • Falsche Internetzone : Dieses Problem kann auftreten, wenn Sie versuchen, auf eine Website zuzugreifen, die sich nicht in der richtigen Internetzone in Internet Explorer befindet. Die Anmeldeinformationen funktionieren nicht, wenn sich die Website in der lokalen Intranetzone befindet.

    Lösung: Fügen Sie den Webserver der lokalen Intranetzone von IE hinzu.

Informationen zum Haftungsausschluss von Drittanbietern

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Weitere Informationen

Sammeln von Daten zur Behandlung von SQL Server-Konnektivitätsproblemen