Delen via

Consistente verificatieproblemen in SQL Server

  • Artikel

Van toepassing op: SQL Server

Notitie

De opdrachten die in dit artikel worden gegeven, zijn alleen van toepassing op Windows-systemen.

Consistente verificatieproblemen die optreden in Microsoft SQL Server zijn doorgaans gerelateerd aan verificatie en autorisatie van gebruikers of toepassingen die toegang proberen te krijgen tot de SQL Server-database. Deze problemen kunnen verificatiefouten zijn, fouten met toegang geweigerd of andere beveiligingsproblemen.

De sleutel voor het effectief oplossen van consistente verificatieproblemen is het begrijpen van de verschillende fouttypen en wat elk foutbericht betekent. Sommige fouten kunnen optreden in meer dan één verificatieprobleem. U kunt de informatie over probleemoplossing gebruiken die wordt vermeld in de sectie Typen fouten om de fout op te lossen.

Voorwaarden

Voordat u begint met het oplossen van problemen, moet u de controlelijst voor vereisten doorlopen om de volgende informatie gereed te maken:

Soorten fouten

In deze sectie worden fouttypen en gerelateerde informatie beschreven.

  • Fouten met directoryservices: als het SQL Server-foutenlogboekbestand een of beide van de volgende berichten bevat, is deze fout gerelateerd aan Active Directory-domein Services (AD DS). Deze fout kan ook optreden als Windows op de SQL Server-computer geen contact kan maken met de domeincontroller (DC) of als de LSASS (Local Security Authority Subsystem Service) een probleem ondervindt.

    Error -2146893039 (0x80090311): No authority could be contacted for authentication.
Error -2146893052 (0x80090304): The Local Security Authority cannot be contacted.

  • Mislukte aanmeldingsfouten: wanneer u de fout 'Aanmelden mislukt' oplost, biedt het SQL Server-foutenlogboek aanvullende inzichten in foutcode 18456, inclusief een specifieke statuswaarde die meer context biedt over de fout. Zie het SQL Server-foutenlogboekbestand in de SQL-statuswaarde voor meer informatie. U kunt proberen het probleem op te lossen volgens de beschrijving van de statuswaarde.

    De volgende tabel bevat enkele specifieke foutberichten over mislukte aanmeldingen en de mogelijke oorzaken en oplossingen.

    Foutmelding Meer informatie
    'Er is een fout op transportniveau opgetreden bij het verzenden van de aanvraag naar de server.' Controleer of de toewijzing van het gekoppelde serveraccount juist is. Zie sp_addlinkedsrvlogin voor meer informatie.
    "Kan geen SSPI-context genereren"
    "Kan de databasetest <> die is aangevraagd door de aanmelding, niet openen. de aanmelding is mislukt.' op te lossen De database is mogelijk offline of de machtigingen zijn mogelijk niet voldoende. Zie Database offline in MSSQLSERVER_18456 voor meer informatie.
    Controleer ook of de databasenaam in de verbindingsreeks juist is.
    'Aanmelden is mislukt voor gebruikersnaam van gebruiker<>'. Deze fout kan optreden als het proxyaccount niet correct is geverifieerd.
    "Aanmelden mislukt voor gebruiker: 'NT AUTHORITY\ANONYMOUS LOGON'" Deze fout kan optreden als de SPN ontbreekt, SPN wordt gedupliceerd of de SPN zich op het verkeerde account bevindt.
    'Aanmelden is mislukt voor gebruikersnaam van gebruiker<>'.
    'Aanmelden is mislukt voor gebruiker '<database\username>'
    		 Controleer of een verbindingsreeks een onjuiste servernaam bevat. Controleer ook of de gebruiker deel uitmaakt van een lokale groep die wordt gebruikt om toegang te verlenen tot de server. Zie NT AUTHORITY\ANONYMOUS LOGON voor meer oorzaken.
    'Aanmelden is mislukt voor gebruiker '<gebruikersnaam>'. Reden: het wachtwoord komt niet overeen met dat voor de opgegeven aanmelding. Deze fout kan optreden als er een onjuist wachtwoord wordt gebruikt. Zie Aanmelden is mislukt voor gebruiker '<gebruikersnaam>' of aanmelding is mislukt voor gebruiker '<domeingebruikersnaam><>'.
    'SQL Server bestaat niet of de toegang is geweigerd'. Named Pipes-verbindingen mislukken omdat de gebruiker niet gemachtigd is om u aan te melden bij Windows.
    'De aanmelding is afkomstig van een niet-vertrouwd domein en kan niet worden gebruikt met Windows-verificatie'. Deze fout kan te maken hebben met de problemen met het lokale beveiligingssubsysteem .
    'Het gebruikersaccount is niet toegestaan voor het aanmeldingstype Netwerk'. Mogelijk kunt u zich niet aanmelden bij het netwerk.

Typen consistente verificatieproblemen

In deze sectie worden typische oorzaken van consistente verificatieproblemen samen met hun respectieve oplossingen beschreven. Selecteer het probleemtype om de relevante problemen, oorzaken en oplossingen te bekijken.

Verbindingsreeks

In deze sectie worden de problemen vermeld die betrekking hebben op configuratie-instellingen die door toepassingen worden gebruikt om verbinding te maken met een database.

Database

In deze sectie worden de problemen vermeld die specifiek zijn voor verschillende aspecten van SQL Server:

  • Database is offline : verwijst naar een scenario waarin een SQL Server-database opnieuw verbinding probeert te maken met een SQL Server-exemplaar dat is geconfigureerd voor de modus Windows-verificatie.

    Oplossing: Zie MSSQLSERVER_18456 voor meer informatie.

  • Databasemachtigingen : verwijst naar het in- of beperken van de toegang tot een SQL Server-database.

    Oplossing: Zie MSSQLSERVER_18456 voor meer informatie.

  • Connectiviteitsfouten met gekoppelde servers in SQL Server : u ondervindt een verificatieprocesprobleem dat van invloed is op gekoppelde servers in de context van SQL Server.

    Oplossing: Zie connectiviteitsfouten van gekoppelde servers in SQL Server om dit probleem op te lossen.

  • Metagegevens van de gekoppelde server zijn inconsistent : verwijst naar een probleem waarbij metagegevens van de gekoppelde server inconsistent zijn of niet overeenkomen met de verwachte metagegevens.

    Een weergave of opgeslagen procedure voert query's uit op de tabellen of weergaven op de gekoppelde server, maar ontvangt aanmeldingsfouten, zelfs als een gedistribueerde SELECT instructie die is gekopieerd uit de procedure niet.

    Dit probleem kan optreden als de weergave is gemaakt en de gekoppelde server opnieuw is gemaakt of als een externe tabel is gewijzigd zonder de weergave opnieuw te bouwen.

    Oplossing: Vernieuw de metagegevens van de gekoppelde server door de sp_refreshview opgeslagen procedure uit te voeren.

  • Proxyaccount heeft geen machtigingen : een SSIS-taak (SQL Server Integration Service) die wordt uitgevoerd door SQL Agent, vereist mogelijk andere machtigingen dan de machtigingen die het SQL Agent-serviceaccount kan bieden.

    Oplossing: Als u dit probleem wilt oplossen, wordt het SSIS-pakket niet uitgevoerd wanneer het wordt aangeroepen vanuit een SQL Server Agent-taakstap.

  • Kan niet aanmelden bij SQL Server-database : het niet kunnen aanmelden kan leiden tot fouten in de verificatie.

    Oplossing: Zie MSSQLSERVER_18456 om dit probleem op te lossen.

Adreslijstservices

In deze sectie worden de problemen vermeld die betrekking hebben op adreslijstservices en -servers.

  • Een account is uitgeschakeld . Mogelijk ondervindt u dit scenario als het gebruikersaccount is uitgeschakeld door een beheerder of door een gebruiker. In dit geval kunt u zich niet aanmelden met dit account of kunt u dit account niet gebruiken om een service te starten. Dit kan consistente verificatieproblemen veroorzaken omdat u hiermee geen toegang kunt krijgen tot resources of acties kunt uitvoeren waarvoor verificatie is vereist.

    Oplossing: Een domeinbeheerder kan dit oplossen door het account opnieuw in te schakelen. Wanneer een account is uitgeschakeld, komt dit meestal doordat een gebruiker zich te vaak probeert aan te melden met het verkeerde wachtwoord of omdat een toepassing of service een oud wachtwoord probeert te gebruiken.

  • Een account bevindt zich niet in de groep . Dit probleem kan optreden als een gebruiker toegang probeert te krijgen tot een resource die is beperkt tot een specifieke groep.

    Oplossing: Controleer de SQL-aanmeldingen om toegestane groepen te inventariseren en zorg ervoor dat de gebruiker deel uitmaakt van een van de groepen.

  • Accountmigratie is mislukt : als oude gebruikersaccounts geen verbinding kunnen maken met de server, maar nieuw gemaakte accounts dat wel kunnen, is accountmigratie mogelijk niet juist. Dit probleem is gerelateerd aan AD DS.

    Oplossing: Zie Aanmeldingen en wachtwoorden overdragen tussen exemplaren van SQL Server voor meer informatie.

  • Domeincontroller is offline - verwijst naar een probleem waarbij de domeincontroller niet toegankelijk is.

    Oplossing: Gebruik de nltest opdracht om de computer te dwingen over te schakelen naar een andere domeincontroller. Zie Active Directory-replicatie-gebeurtenis-id 2087: DNS-opzoekfout heeft replicatie mislukt voor meer informatie.

  • Firewall blokkeert de domeincontroller . Er kunnen problemen optreden wanneer u de toegang van de gebruiker tot resources beheert.

    Oplossing: zorg ervoor dat de domeincontroller toegankelijk is vanaf de client of de server. Gebruik hiervoor de nltest /SC_QUERY:CONTOSO opdracht.

  • Aanmelden is afkomstig van een niet-vertrouwd domein : dit probleem is gerelateerd aan het vertrouwensniveau tussen domeinen. Mogelijk ziet u het volgende foutbericht: 'Aanmelden is mislukt. De aanmelding is afkomstig van een niet-vertrouwd domein en kan niet worden gebruikt met Windows-verificatie. (18452)."

    Fout 18452 geeft aan dat de aanmelding Gebruikmaakt van Windows-verificatie, maar de aanmelding een niet-herkende Windows-principal is. Een niet-herkende Windows-principal geeft aan dat de aanmelding niet kan worden geverifieerd door Windows. Dit kan gebeuren omdat de Windows-aanmelding afkomstig is van een niet-vertrouwd domein. Het vertrouwensniveau tussen domeinen kan leiden tot fouten in accountverificatie of de zichtbaarheid van SPN's (Service Provider Name).

    Oplossing: Zie MSSQLSERVER_18452 om dit probleem op te lossen.

  • Geen machtigingen voor groepen tussen domeinen : gebruikers uit het externe domein moeten behoren tot een groep in het SQL Server-domein. Er is mogelijk een probleem als u probeert een lokale domeingroep te gebruiken om vanuit een ander domein verbinding te maken met een SQL Server-exemplaar.

    Oplossing: Als de domeinen onvoldoende vertrouwen hebben, kan het toevoegen van de gebruikers in een groep in het externe domein verhinderen dat de server het lidmaatschap van de groep opsommen.

  • Selectieve verificatie is uitgeschakeld : verwijst naar een functie van domeinvertrouwensrelaties waarmee de domeinbeheerder kan beperken welke gebruikers toegang hebben tot resources in het externe domein. Als selectieve verificatie niet is ingeschakeld, kunnen alle gebruikers in het vertrouwde domein toegang krijgen tot het externe domein.

    Oplossing: Schakel selectieve verificatie in om dit probleem op te lossen om ervoor te zorgen dat de gebruikers zich niet mogen verifiëren in het externe domein.

Kerberos-verificatie

In deze sectie worden de problemen vermeld die betrekking hebben op de Kerberos-verificatie:

  • Er wordt een onjuist DNS-achtervoegsel toegevoegd aan de NetBIOS-naam . Dit probleem kan optreden als u alleen de NetBIOS-naam (bijvoorbeeld SQLPROD01) gebruikt in plaats van de FQDN (Fully Qualified Domain Name) (bijvoorbeeld SQLPROD01.CONTOSO.COM). Wanneer dit gebeurt, kan het verkeerde DNS-achtervoegsel worden toegevoegd.

    Oplossing: Controleer de netwerkinstellingen voor de standaardachtervoegsels om ervoor te zorgen dat ze juist zijn of gebruik de FQDN om problemen te voorkomen.

  • Klokverschil is te hoog . Dit probleem kan optreden als meerdere apparaten in een netwerk niet worden gesynchroniseerd. Voordat de Kerberos-verificatie werkt, kunnen de klokken tussen apparaten niet langer dan vijf minuten worden uitgeschakeld of kunnen er consistente verificatiefouten optreden.

    Oplossing: Stel de computers in om hun klokken regelmatig te synchroniseren met een centrale tijdservice.

  • Gevoelige accounts delegeren aan andere services : sommige accounts kunnen worden gemarkeerd als Sensitive in AD DS. Deze accounts kunnen niet worden gedelegeerd aan een andere service in een scenario met dubbele hop. Gevoelige accounts zijn essentieel voor het bieden van beveiliging, maar ze kunnen van invloed zijn op verificatie.

    Oplossing: Zie Aanmelden is mislukt voor gebruiker NT AUTHORITY\ANONYMOUS LOGON om dit probleem op te lossen.

  • Delegeren aan een bestandsshare - verwijst naar een situatie waarin een gebruiker of toepassing de referenties delegeert voor toegang tot een bestandsshare. Zonder de juiste beperkingen kan het delegeren van referenties aan een bestandsshare beveiligingsrisico's opleveren.

    Oplossing: Zorg ervoor dat u beperkte delegering gebruikt om dit soort problemen op te lossen.

  • Niet-aaneengesloten DNS-naamruimte : verwijst naar een consistent verificatieprobleem dat kan optreden als het DNS-achtervoegsel niet overeenkomt tussen het domeinlid en DNS. Mogelijk ondervindt u verificatieproblemen als u een niet-aaneengesloten naamruimte gebruikt. Als de organisatiehiërarchie in AD DS en in DNS niet overeenkomt, kan de verkeerde SPN worden gegenereerd als u de NETBIOS-naam in de databasetoepassing gebruikt verbindingsreeks. In deze situatie wordt de SPN niet gevonden en worden referenties voor New Technology LAN Manager (NTLM) gebruikt in plaats van Kerberos-referenties.

    Oplossing: Als u het probleem wilt verhelpen, gebruikt u de FQDN-naam van de server of geeft u de SPN-naam op in de verbindingsreeks. Zie Computernaamgeving voor meer informatie over FQDN.

  • Dubbele SPN : verwijst naar een situatie waarin twee of meer SPN's identiek zijn binnen een domein. SPN's worden gebruikt om services op unieke wijze te identificeren die worden uitgevoerd op servers in een Windows-domein. Dubbele SPN's kunnen verificatieproblemen veroorzaken.

    Oplossing: Zie De fout oplossen met Kerberos Configuration Manager (aanbevolen) om dit probleem op te lossen.

  • HTTP-poorten inschakelen op SPN's : http-SPN's gebruiken doorgaans geen poortnummers (bijvoorbeeld http/web01.contoso.com).

    Oplossing: Om dit probleem op te lossen, kunt u dit inschakelen met behulp van het beleid op de clients. De SPN moet dan de http/web01.contoso.com:88 indeling hebben om Kerberos correct te laten functioneren. Anders worden NTLM-referenties gebruikt.

    NTLM-referenties worden niet aanbevolen omdat het lastig kan zijn om het probleem vast te stellen. Deze situatie kan ook overmatige administratieve overhead genereren.

  • Verlopen tickets - Verwijst naar Kerberos-tickets. Het gebruik van verlopen Kerberos-tickets kan verificatieproblemen veroorzaken.

    Oplossing: Zie Verlopen tickets om dit probleem op te lossen.

  • HOSTS-bestand is onjuist : het HOSTS-bestand kan DNS-zoekopdrachten verstoren en kan een onverwachte SPN-naam genereren. Deze situatie zorgt ervoor dat NTLM-referenties worden gebruikt. Als een onverwacht IP-adres zich in het HOSTS-bestand bevindt, komt de SPN die wordt gegenereerd mogelijk niet overeen met de back-endserver waarnaar wordt verwezen.

    Oplossing: Controleer het HOSTS-bestand en verwijder de vermeldingen voor uw server. Hosts-bestandsvermeldingen worden weergegeven in het SQLCHECK-rapport.

  • Probleem met SID-machtigingen (Security Identifier) per service: PER-service-SID is een beveiligingsfunctie van SQL Server waarmee lokale verbindingen worden beperkt voor gebruik van NTLM en niet Kerberos als verificatiemethode. De service kan één hop naar een andere server maken met behulp van NTLM-referenties, maar deze kan niet verder worden gedelegeerd zonder de beperkte delegering te gebruiken. Zie Aanmelden is mislukt voor gebruiker NT AUTHORITY\ANONYMOUS LOGON voor meer informatie.

    Oplossing: Om dit probleem op te lossen, moet de domeinbeheerder beperkte delegering instellen.

  • Verificatie in de kernelmodus : de SPN op het app-poolaccount is doorgaans vereist voor webservers. Wanneer verificatie in de kernelmodus wordt gebruikt, wordt de HOST SPN van de computer echter gebruikt voor verificatie. Deze actie vindt plaats in de kernel. Deze instelling kan worden gebruikt als de server als host fungeert voor veel verschillende websites die gebruikmaken van dezelfde hostheader-URL, verschillende app-poolaccounts en Windows-verificatie.

    Oplossing: Verwijder de HTTP SPN's als verificatie in de kernelmodus is ingeschakeld.

  • Delegeringsrechten beperken tot Access of Excel : de PROVIDERS Joint Engine Technology (JET) en Access Connectivity Engine (ACE) zijn vergelijkbaar met een van de bestandssystemen. U moet beperkte delegatie gebruiken om SQL Server in staat te stellen bestanden te lezen die zich op een andere computer bevinden. Over het algemeen mag de ACE-provider niet worden gebruikt op een gekoppelde server, omdat dit expliciet niet wordt ondersteund. De JET-provider is afgeschaft en is alleen beschikbaar op 32-bits computers.

    Notitie

    Wanneer SQL Server 2014, de laatste versie ter ondersteuning van 32-bits installaties, niet meer wordt ondersteund, wordt het JET-scenario niet meer ondersteund.

  • Ontbrekende SPN : dit probleem kan optreden als een SPN die is gerelateerd aan een SQL-serverexemplaren niet aanwezig is.

    Oplossing: Zie De fout oplossen met Kerberos Configuration Manager (aanbevolen) voor meer informatie.

  • Geen beperkt doel : als beperkte delegering is ingeschakeld voor een bepaald serviceaccount, mislukt Kerberos als de SPN van de doelserver zich niet in de lijst met doelen van beperkte delegatie bevindt.

    Oplossing: Om dit probleem op te lossen, moet een domeinbeheerder de SPN van de doelserver toevoegen aan de doel-SPN's van het serviceaccount in de middelste laag.

  • NTLM en beperkte delegering: als het doel een bestandsshare is, moet het delegatietype van het serviceaccount in de middellaag beperkt zijn en niet Beperkt-Kerberos. Als het overdrachtstype is ingesteld op Beperkte Kerberos, kan het account in de middellaag alleen worden toegewezen aan specifieke services, maar met beperkte toegang kan het serviceaccount aan elke service delegeren.

    Oplossing: Zie Aanmelden is mislukt voor gebruiker NT AUTHORITY\ANONYMOUS LOGON om dit probleem op te lossen.

  • Het serviceaccount kan niet worden vertrouwd voor delegering in AD . In een dubbelhopscenario moet het serviceaccount van de middellaagservice worden vertrouwd voor delegering in AD DS. Als het serviceaccount niet wordt vertrouwd voor delegatie, kan Kerberos-verificatie mislukken.

    Oplossing: Als u een beheerder bent, schakelt u de optie Vertrouwd voor delegatie in.

  • Sommige verouderde providers bieden geen ondersteuning voor Kerberos via Named Pipes : de verouderde OLE DB-provider (SQLOLEDB) en ODBC-provider (SQL Server) die zijn gebundeld met Windows bieden geen ondersteuning voor Kerberos-verificatie via Named Pipes. In plaats daarvan ondersteunen ze alleen NTLM-verificatie.

    Oplossing: Gebruik een TCP-verbinding om Kerberos-verificatie toe te staan. U kunt ook een nieuwer stuurprogramma gebruiken, bijvoorbeeld MSOLEDBSQL of ODBC-stuurprogramma 17. Maar TCP heeft nog steeds de voorkeur boven Named Pipes, ongeacht de versie van het stuurprogramma.

  • SPN is gekoppeld aan een onjuist account . Dit probleem kan optreden als een SPN is gekoppeld aan het verkeerde account in AD DS. Zie De fout oplossen met Kerberos Configuration Manager (aanbevolen) voor meer informatie.

    Mogelijk ontvangt u een foutbericht als uw SPN is geconfigureerd voor het verkeerde account in AD DS.

    Oplossing: Voer de volgende stappen uit om de fout op te lossen:

    1. Gebruik SETSPN -Q spnName dit om de SPN en het huidige account te vinden.
    2. Gebruik SETSPN -D dit om de bestaande SPN's te verwijderen.
    3. Gebruik de SETSPN -S functie om de SPN naar het juiste account te migreren.

  • SQL-alias werkt mogelijk niet correct . Een SQL Server-alias kan ertoe leiden dat er een onverwachte SPN wordt gegenereerd. Dit zorgt ervoor dat NTLM-referenties mislukken als de SPN niet wordt gevonden of als er per ongeluk een SSPI-fout wordt gevonden die overeenkomt met de SPN van een andere server.

    Oplossing: SQL-aliassen worden weergegeven in het SQLCHECK-rapport. Als u het probleem wilt oplossen, identificeert en corrigeert u eventuele onjuiste of onjuist geconfigureerde SQL-aliassen, zodat deze verwijzen naar de juiste SQL Server.

  • Gebruiker behoort tot veel groepen : als een gebruiker deel uitmaakt van meerdere groepen, kunnen er verificatieproblemen optreden in Kerberos. Als u Kerberos via UDP gebruikt, moet het hele beveiligingstoken binnen één pakket passen. Gebruikers die tot veel groepen behoren, hebben een groter beveiligingstoken dan gebruikers die tot minder groepen behoren.

    Oplossing: Als u Kerberos via TCP gebruikt, kunt u de instelling [MaxTokenSize] verhogen. Zie MaxTokenSize en Kerberos Token Bloat voor meer informatie.

  • Hostheader van de website gebruiken: de HTTP-hostheader speelt een zeer belangrijke rol in het HTTP-protocol voor toegang tot webpagina's.

    Oplossing: Als de website een hostheadernaam heeft, kan de HOST SPN niet worden gebruikt. Er moet een expliciete HTTP SPN worden gebruikt. Als de website geen hostheadernaam heeft, wordt NTLM gebruikt. NTLM kan niet worden gedelegeerd aan een back-end sql Server-exemplaar of een andere service.

NT LAN Manager (NTLM)

In deze sectie vindt u problemen die specifiek zijn voor NTLM (NT LAN Manager):

  • Toegang wordt geweigerd voor NTLM-peeraanmelding: verwijst naar een probleem dat betrekking heeft op NTLM-peeraanmelding.

    Oplossing: Wanneer u communiceert tussen computers die zich in werkstations of domeinen bevinden die elkaar niet vertrouwen, kunt u identieke accounts instellen op beide computers en NTLM-peerverificatie gebruiken.

    Aanmeldingen werken alleen als zowel het gebruikersaccount als het wachtwoord overeenkomen op beide computers. NTLM-verificatie kan worden uitgeschakeld of niet worden ondersteund aan de client- of serverzijde. Deze situatie kan verificatiefouten veroorzaken. Zie MSSQLSERVER_18456 voor meer informatie.

  • Scenario's met dubbele hop op meerdere computers : een dubbelhopproces mislukt als NTLM-referenties worden gebruikt. Kerberos-referenties zijn vereist.

    Oplossing: Zie Aanmelden is mislukt voor gebruiker NT AUTHORITY\ANONYMOUS LOGON om dit probleem op te lossen.

  • Loopback-beveiliging is niet juist ingesteld. Loopback-beveiliging is ontworpen om toepassingen te verbieden andere services op dezelfde computer aan te roepen. Als loopback-beveiliging niet juist is geconfigureerd of als er een storing is, kan deze situatie indirect verificatieproblemen veroorzaken.

    Oplossing: Zie MSSQLSERVER_18456 om dit probleem op te lossen.

  • Loopback-beveiliging mislukt wanneer u verbinding maakt met de Always-on-listener . Dit probleem is gerelateerd aan loopback-beveiliging. Wanneer u vanuit het primaire knooppunt verbinding maakt met de Always-On-listener, gebruikt de verbinding NTLM-verificatie.

    Oplossing: Zie MSSQLSERVER_18456 voor meer informatie.

  • Probleem dat van invloed is op het compatibiliteitsniveau LANMAN - Het LAN Manager-verificatieprobleem (LANMAN) treedt meestal op als er een onjuiste overeenkomst bestaat in de verificatieprotocollen die worden gebruikt door oudere (pre-Windows Server 2008) en nieuwere computers. Wanneer u het compatibiliteitsniveau instelt op 5, is NTLMv2 niet toegestaan.

    Oplossing: Overschakelen naar Kerberos voorkomt dit probleem omdat Kerberos veiliger is. Zie Aanmelden is mislukt voor gebruiker NT AUTHORITY\ANONYMOUS LOGON voor meer informatie.

SQL-aanmelding

In deze sectie vindt u problemen die betrekking hebben op verificatiereferenties:

  • Ongeldig wachtwoord : verwijst naar een probleem met betrekking tot aanmelden.

    Oplossing: Zie MSSQLSERVER_18456 om dit probleem op te lossen.

  • Ongeldige gebruikersnaam : verwijst naar een probleem met betrekking tot aanmelding.

    Oplossing: Zie MSSQLSERVER_18456 om dit probleem op te lossen.

  • SQL Server-aanmeldingen zijn niet ingeschakeld . Verwijst naar een scenario waarin u verbinding probeert te maken met een Microsoft SQL Server-exemplaar met behulp van SQL Server-verificatie, maar de aanmelding die aan het account is gekoppeld, is uitgeschakeld.

    Oplossing: Zie MSSQLSERVER_18456 om dit probleem op te lossen.

  • Named Pipes-verbindingen mislukken omdat de gebruiker niet gemachtigd is om zich aan te melden bij Windows . Verwijst naar een machtigingsprobleem in Windows.

    Oplossing: Zie het probleem met named pipes-verbindingen in SQL Server om dit probleem op te lossen.

Windows-machtigingen

In deze sectie vindt u problemen die specifiek zijn voor Windows-machtigingen of beleidsinstellingen:

  • Toegang wordt verleend via lokale groepen : als de gebruiker geen deel uitmaakt van een lokale groep die wordt gebruikt voor het verlenen van toegang tot de server, geeft de provider het foutbericht 'Aanmelden mislukt voor gebruiker 'contoso/user1' weer.

    Oplossing: De databasebeheerder kan deze situatie controleren door de map Beveiligingsaanmelding>in SQL Server Management Studio (SSMS) te bekijken. Als de database een ingesloten database is, controleert u onder databasename. Zie Aanmelden is mislukt voor gebruiker '<gebruikersnaam>' of aanmelding is mislukt voor gebruiker '<domein>\<gebruikersnaam>'.

  • Credential Guard is ingeschakeld . Dit scenario geeft aan dat de Credential Guard-functie is ingeschakeld op een Windows-systeem en wordt gebruikt om een beveiligde omgeving te maken voor het opslaan van gevoelige informatie. In bepaalde situaties kan deze functie echter verificatieproblemen veroorzaken.

    Oplossing: Als u dit probleem wilt oplossen, vraagt u een domeinbeheerder om beperkte delegering in te stellen. Zie Overwegingen en bekende problemen bij het gebruik van Credential Guard voor meer informatie.

  • Fouten in het lokale beveiligingssubsysteem: wanneer u lokale beveiligingssubsysteemfouten ondervindt, met name fouten die zijn gekoppeld aan LSASS, kan dit duiden op onderliggende problemen die van invloed zijn op verificatie.

    Oplossing: Zie Lokale beveiligingssubsysteemfouten in SQL Server om deze fouten op te lossen.

  • Aanmelding via het netwerk is niet toegestaan . Dit scenario treedt op wanneer u zich probeert aan te melden bij een netwerk, maar uw aanmeldingsaanvraag om bepaalde redenen wordt geweigerd.

    Oplossing: Zie Gebruiker heeft geen machtigingen om u aan te melden bij het netwerk om dit probleem op te lossen.

  • Alleen beheerders kunnen zich aanmelden . Dit probleem treedt op als het beveiligingslogboek op een computer vol is en onvoldoende ruimte heeft om gebeurtenissen in te vullen. De beveiligingsfunctie CrashOnAuditFail wordt gebruikt door systeembeheerders om alle beveiligingsgebeurtenissen te controleren. De geldige waarden zijn CrashOnAuditFail 0, 1 en 2. Als de sleutel CrashOnAuditFail is ingesteld op 2, betekent dit dat het beveiligingslogboek vol is en het foutbericht 'Alleen beheerders kunnen zich aanmelden' wordt weergegeven.

    Oplossing: Voer de volgende stappen uit om dit probleem op te lossen:

    1. Start de Register-editor.
    2. Zoek en controleer de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa!crashonauditfail subsleutel om te zien of de waarde is ingesteld op 2. Deze waarde geeft aan dat het beveiligingslogboek handmatig moet worden gewist.
    3. Stel de waarde in op 0 en start de server opnieuw op. Mogelijk wilt u ook het beveiligingslogboek wijzigen zodat gebeurtenissen kunnen worden overgedraaid. Zie Gebruikers geen toegang krijgen tot websites wanneer het beveiligingslogboek vol is voor meer informatie over hoe de instelling van invloed is op alle services, zoals SQL, IIS, bestandsshare en aanmelding.

    Notitie

    Dit probleem is alleen van invloed op geïntegreerde aanmeldingen. Een Named Pipes-verbinding wordt ook beïnvloed in een SQL Server-aanmelding, omdat Named Pipes zich voor het eerst aanmeldt bij Windows Admin Pipe voordat deze verbinding maakt met SQL Server.

  • Serviceaccount wordt niet vertrouwd voor delegering . Dit soort probleem treedt meestal op als een serviceaccount geen referenties mag toewijzen aan andere servers. Dit probleem kan van invloed zijn op services waarvoor delegatie is vereist.

    Oplossing: Als een delegeringsscenario niet is ingeschakeld, controleert u de SQL Server secpol.msc om te bepalen of het SQL Server-serviceaccount wordt vermeld onder de toewijzing > van lokale beleidsregels > voor gebruikersrechten een client na de instellingen voor het beveiligingsbeleid voor verificatie. Zie Computer- en gebruikersaccounts kunnen worden vertrouwd voor delegatie voor meer informatie.

  • Windows-gebruikersprofiel kan niet worden geladen in SQL Server : verwijst naar het probleem met het Windows-gebruikersprofiel.

    Oplossing: Zie Windows-gebruikersprofiel kan niet worden geladen in SQL Server voor meer informatie over het oplossen van problemen met beschadigde gebruikersprofielen.

Andere aspecten

In deze sectie vindt u problemen met betrekking tot verificatie en toegangsbeheer in een webomgeving:

  • Geïntegreerde verificatie is niet ingeschakeld : verwijst naar een configuratieprobleem waarbij Geïntegreerde Windows-verificatie (IWA) niet juist is geconfigureerd.

    Oplossing: Zorg ervoor dat de optie Geïntegreerde Windows-verificatie is ingeschakeld in de instellingen voor internetopties om dit probleem op te lossen.

  • IIS-verificatie is niet toegestaan . Dit probleem treedt op vanwege onjuiste configuraties in IIS. De verificatie-instellingen die zijn gedefinieerd in het Web.config-bestand van de webtoepassing, kunnen conflicteren met de instellingen die zijn geconfigureerd in IIS. Deze situatie kan verificatieproblemen veroorzaken.

    Oplossing: Als u dit probleem wilt oplossen, configureert u de website om Windows-verificatie in te schakelen en stelt u de <identity impersonate="true"/> waarde in het web.config-bestand in.

  • Verkeerde internetzone : dit probleem kan optreden als u probeert toegang te krijgen tot een website die zich niet in de juiste internetzone in Internet Explorer bevindt. De referenties werken niet als de website zich in de zone lokaal intranet bevindt.

    Oplossing: Voeg de webserver toe aan de lokale intranetzone van IE.

Disclaimerinformatie van derden

De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.

Meer informatie

Gegevens verzamelen om verbindingsproblemen met SQL Server op te lossen