Поделиться через

Согласованные проблемы проверки подлинности в SQL Server

  • Статья

Применяется к: SQL Server

Примечание.

Команды, предоставляемые в этой статье, применяются только к системам Windows.

Согласованные проблемы проверки подлинности, возникающие в Microsoft SQL Server, обычно связаны с проверкой подлинности и авторизацией пользователей или приложений, которые пытаются получить доступ к базе данных SQL Server. Эти проблемы могут быть сбоями проверки подлинности, ошибками отказа доступа или другими проблемами, связанными с безопасностью.

Ключом для эффективного устранения согласованных проблем проверки подлинности является понимание различных типов ошибок и то, что означает каждое сообщение об ошибке. Некоторые ошибки могут возникать в нескольких проблемах проверки подлинности. Чтобы устранить эту ошибку, можно использовать сведения об устранении неполадок, упомянутые в разделе "Типы ошибок ".

Предварительные требования

Прежде чем приступить к устранению неполадок, ознакомьтесь со списком необходимых компонентов, чтобы получить следующие сведения:

Типы ошибок

В этом разделе описываются типы ошибок и связанные сведения.

  • Ошибки служб каталогов: если файл журнала ошибок SQL Server содержит одно или оба из следующих сообщений, эта ошибка связана с службами домен Active Directory (AD DS). Эта ошибка также может возникнуть, если Windows на компьютере на основе SQL Server не может связаться с контроллером домена (DC) или если служба подсистемы локального центра безопасности (LSASS) возникает проблема.

    Error -2146893039 (0x80090311): No authority could be contacted for authentication.
Error -2146893052 (0x80090304): The Local Security Authority cannot be contacted.

  • Ошибки входа в систему: при устранении ошибки "Ошибка входа" журнал ошибок SQL Server предоставляет дополнительные сведения об коде ошибки 18456, включая определенное значение состояния, которое предлагает больше контекста об ошибке. Дополнительные сведения см. в файле журнала ошибок SQL Server в значении состояния SQL. Вы можете попытаться устранить проблему в соответствии с описанием значения состояния.

    В следующей таблице перечислены некоторые сообщения об ошибках login failed и их возможные причины и решения.

    Сообщение об ошибке Дополнительная информация
    "Ошибка уровня транспорта произошла при отправке запроса на сервер". Проверьте правильность сопоставления связанной учетной записи сервера. Дополнительные сведения см. в sp_addlinkedsrvlogin.
    "Не удается создать контекст SSPI"
    "Не удается открыть тест> базы данных<, запрошенный именем входа. Не удалось выполнить вход", выполните следующие действия. База данных может находиться в автономном режиме, или разрешения могут быть недостаточно. Дополнительные сведения см. в разделе "База данных в автономном режиме" в MSSQLSERVER_18456.
    Кроме того, проверьте правильность имени базы данных в строка подключения.
    "Ошибка входа для имени пользователя<>". Эта ошибка может возникать, если учетная запись прокси-сервера не проверена правильно.
    "Ошибка входа для пользователя: NT AUTHORITY\ANONYMOUS LOGON" Эта ошибка может возникнуть, если имя субъекта-службы отсутствует, имя субъекта-службы дублируется или имя участника-службы находится в неправильной учетной записи.
    "Ошибка входа для имени пользователя<>".
    "Сбой входа для пользователя "<database\username>"
    		 Проверьте, содержит ли строка подключения неправильное имя сервера. Кроме того, проверьте, принадлежит ли пользователь локальной группе, которая используется для предоставления доступа к серверу. Дополнительные причины см. в статье NT AUTHORITY\ANONYMOUS LOGON.
    "Не удалось войти для пользователя "<имя пользователя>". Причина: пароль не соответствует этому для предоставленного имени входа". Эта ошибка может возникать, если используется неверный пароль. Дополнительные сведения см. в разделе "Имя пользователя" или имя входа пользователя сбоем>< для имени пользователя "<имя пользователя> домена".><
    "SQL Server не существует или доступ запрещен". Подключения именованных каналов завершаются ошибкой, так как у пользователя нет разрешения на вход в Windows.
    "Имя входа осуществляется из недоверенного домена и не может использоваться с проверка подлинности Windows". Эта ошибка может быть связана с проблемами локальной подсистемы безопасности.
    "Учетная запись пользователя не разрешена для входа в сеть". Возможно, вы не сможете войти в сеть.

Типы проблем с согласованной проверкой подлинности

В этом разделе описываются типичные причины согласованных проблем проверки подлинности вместе с соответствующими решениями. Выберите тип проблемы, чтобы просмотреть соответствующие проблемы, причины и решения.

Строка соединения

В этом разделе перечислены проблемы, связанные с параметрами конфигурации, которые используются приложениями для подключения к базе данных.

База данных

В этом разделе перечислены проблемы, относящиеся к различным аспектам SQL Server:

  • База данных находится в автономном режиме . Ссылается на сценарий, в котором база данных SQL Server пытается повторно подключиться к экземпляру SQL Server, настроенному для режима проверки подлинности Windows.

    Решение. Дополнительные сведения см. в MSSQLSERVER_18456.

  • Разрешения базы данных. Относится к включению или ограничению доступа к базе данных SQL Server.

    Решение. Дополнительные сведения см. в MSSQLSERVER_18456.

  • Ошибки подключения к связанному серверу в SQL Server — возникает проблема с процессом проверки подлинности, влияющим на связанные серверы в контексте SQL Server.

    Решение. Чтобы устранить эту проблему, ознакомьтесь с ошибками подключения к связанному серверу в SQL Server.

  • Метаданные связанного сервера несогласованы . Ссылается на проблему, в которой метаданные связанного сервера несогласованы или не соответствуют ожидаемым метаданным.

    Представление или хранимая процедура запрашивает таблицы или представления на связанном сервере, но получает сбои входа, даже если распределенная SELECT инструкция, скопированная из процедуры, не выполняется.

    Эта проблема может возникнуть, если представление было создано, а затем связанный сервер был повторно создан, или удаленная таблица была изменена без перестроения представления.

    Решение. Обновите метаданные связанного сервера, выполнив хранимую sp_refreshview процедуру.

  • У учетной записи прокси-сервера нет разрешений . Задание службы интеграции SQL Server (SSIS), выполняемое агентом SQL, может потребовать разрешений, отличных от тех, которые могут предоставлять учетная запись службы агента SQL.

    Решение. Чтобы устранить эту проблему, см. сведения о том, что пакет служб SSIS не запускается при вызове из шага задания агент SQL Server.

  • Не удается войти в базу данных SQL Server. Невозможность входа в систему может привести к сбоям при проверке подлинности.

    Решение. Чтобы устранить эту проблему, см . MSSQLSERVER_18456.

Службы каталогов

В этом разделе перечислены проблемы, связанные с службами каталогов и серверами.

  • Учетная запись отключена . Этот сценарий может возникнуть, если учетная запись пользователя была отключена администратором или пользователем. В этом случае вы не можете войти с помощью этой учетной записи или использовать эту учетную запись для запуска службы. Это может привести к согласованным проблемам проверки подлинности, так как это может препятствовать доступу к ресурсам или выполнять действия, требующие проверки подлинности.

    Решение. Администратор домена может исправить это, повторно включив учетную запись. Если учетная запись отключена, обычно это связано с тем, что пользователь пытался войти с неправильным паролем слишком много раз или потому, что приложение или служба пытается использовать старый пароль.

  • Учетная запись не входит в группу . Эта проблема может возникнуть, если пользователь пытается получить доступ к ресурсу, который ограничен определенной группой.

    Решение. Проверьте имена входа SQL, чтобы перечислить разрешенные группы и убедиться, что пользователь принадлежит одной из групп.

  • Сбой миграции учетных записей. Если старые учетные записи пользователей не могут подключиться к серверу, но только что созданные учетные записи могут, миграция учетных записей может быть неправильной. Эта проблема связана с AD DS.

    Решение. Дополнительные сведения см. в разделе "Передача имен входа и паролей" между экземплярами SQL Server.

  • Контроллер домена находится в автономном режиме . Указывает на проблему, из-за которой контроллер домена недоступен.

    Решение. Используйте nltest команду, чтобы принудительно переключиться на другой контроллер домена. Дополнительные сведения см. в разделе Идентификатор события репликации Active Directory 2087: сбой подстановки DNS вызвал сбой репликации.

  • Брандмауэр блокирует контроллер домена. При управлении доступом пользователя к ресурсам могут возникнуть проблемы.

    Решение. Убедитесь, что контроллер домена доступен от клиента или сервера. Для этого используйте nltest /SC_QUERY:CONTOSO команду.

  • Вход осуществляется из недоверенного домена . Эта проблема связана с уровнем доверия между доменами. Может появиться следующее сообщение об ошибке: "Ошибка входа. Имя входа осуществляется из недоверенного домена и не может использоваться с проверка подлинности Windows. (18452)."

    Ошибка 18452 указывает, что имя входа использует проверку подлинности Windows, но имя входа является нераспознанным субъектом Windows. Нераспознанный субъект Windows указывает, что имя входа не может быть проверено Windows. Это может произойти, так как имя входа Windows осуществляется из недоверенного домена. Уровень доверия между доменами может вызвать сбои в проверке подлинности учетной записи или видимости имени поставщика услуг (SPN).

    Решение. Чтобы устранить эту проблему, см . MSSQLSERVER_18452.

  • Нет разрешений для групп между доменами. Пользователи из удаленного домена должны принадлежать группе в домене SQL Server. При попытке использовать локальную группу домена для подключения к экземпляру SQL Server из другого домена может возникнуть проблема.

    Решение. Если домены не имеют правильного доверия, добавление пользователей в группу в удаленном домене может предотвратить перечисление членства в группе сервера.

  • Выборочная проверка подлинности отключена . Ссылается на функцию доверия домена, которая позволяет администратору домена ограничить доступ пользователей к ресурсам в удаленном домене. Если выборочная проверка подлинности не включена, все пользователи в доверенном домене могут получить доступ к удаленному домену.

    Решение. Чтобы устранить эту проблему, включите выборочную проверку подлинности, чтобы убедиться, что пользователи не могут пройти проверку подлинности в удаленном домене.

Проверка подлинности Kerberos

В этом разделе перечислены проблемы, связанные с проверкой подлинности Kerberos:

  • Неверный DNS-суффикс добавляется к имени NetBIOS. Эта проблема может возникнуть, если вы используете только имя NetBIOS (например, SQLPROD01) вместо полного доменного имени (FQDN) (например, SQLPROD01.CONTOSO.COM). В этом случае может быть добавлен неправильный суффикс DNS.

    Решение. Проверьте параметры сети для суффиксов по умолчанию, чтобы убедиться, что они правильны, или используйте полное доменное имя, чтобы избежать проблем.

  • Слишком высокая задержка часов. Эта проблема может возникнуть, если несколько устройств в сети не синхронизированы. Чтобы проверка подлинности Kerberos работала, часы между устройствами не могут быть отключены в течение более пяти минут или согласованных сбоев проверки подлинности.

    Решение. Настройте компьютеры для регулярной синхронизации часов с централизованной службой времени.

  • Делегирование конфиденциальных учетных записей другим службам . Некоторые учетные записи могут быть помечены как Sensitive в AD DS. Эти учетные записи нельзя делегировать другой службе в сценарии двойного прыжка. Конфиденциальные учетные записи крайне важны для обеспечения безопасности, но могут повлиять на проверку подлинности.

    Решение. Чтобы устранить эту проблему, ознакомьтесь с ошибкой входа пользователя NT AUTHORITY\ANONYMOUS LOGON.

  • Делегирование в общую папку . Указывает на ситуацию, в которой пользователь или приложение делегирует свои учетные данные для доступа к общей папке. Без соответствующих ограничений делегирование учетных данных в общую папку может создать риски безопасности.

    Решение. Чтобы устранить эту проблему, убедитесь, что вы используете ограниченное делегирование.

  • Разсоединение пространства имен DNS— относится к согласованной проблеме проверки подлинности, которая может возникнуть, если DNS-суффикс не соответствует члену домена и DNS. При использовании несвязанного пространства имен могут возникнуть проблемы с проверкой подлинности. Если иерархия организации в AD DS и DNS не совпадают, при использовании имени NETBIOS в приложении базы данных строка подключения может возникнуть ошибка имени субъекта-службы. В этой ситуации имя субъекта-службы не найдено, а учетные данные New Technology LAN Manager (NTLM) используются вместо учетных данных Kerberos.

    Решение. Чтобы устранить проблему, используйте полное доменное имя сервера или укажите имя субъекта-службы в строка подключения. Сведения о полном доменном имени см. в разделе "Именование компьютеров".

  • Дублирование имени субъекта-службы — относится к ситуации, в которой два или более spN идентичны в домене. Имена субъектов-служб используются для уникальной идентификации служб, работающих на серверах в домене Windows. Повторяющиеся имена субъектов-служб могут вызвать проблемы с проверкой подлинности.

    Решение. Чтобы устранить эту проблему, ознакомьтесь с ошибкой с помощью Диспетчера конфигурации Kerberos (рекомендуется).

  • Включите HTTP-порты в имени субъекта-службы. Как правило, http-службы-службы не используют номера портов (например, http/web01.contoso.com).

    Решение. Чтобы устранить эту проблему, эту проблему можно включить с помощью политики на клиентах. Затем имя субъекта-службы должно быть в http/web01.contoso.com:88 формате, чтобы обеспечить правильную работу Kerberos. В противном случае используются учетные данные NTLM.

    Учетные данные NTLM не рекомендуется, так как они могут затруднить диагностику проблемы. Кроме того, эта ситуация может привести к чрезмерной административной нагрузке.

  • Просроченные билеты — ссылается на билеты Kerberos. Использование просроченных билетов Kerberos может вызвать проблемы с проверкой подлинности.

    Решение. Чтобы устранить эту проблему, ознакомьтесь с запросами с истекшим сроком действия.

  • Файл HOSTS неверный . Файл HOSTS может нарушить поиск DNS и может создать неожиданное имя субъекта-службы. Эта ситуация приводит к использованию учетных данных NTLM. Если непредвиденный IP-адрес находится в файле HOSTS, имя субъекта-службы, созданное, может не совпадать с серверным сервером, на который указывает сервер.

    Решение. Просмотрите файл HOSTS и удалите записи для сервера. Записи файлов HOSTS отображаются в отчете SQLCHECK.

  • Проблема с разрешениями идентификатора безопасности для каждой службы . Per-service-SID — это функция безопасности SQL Server, которая ограничивает локальные подключения для использования NTLM, а не Kerberos в качестве метода проверки подлинности. Служба может сделать один прыжок на другой сервер с помощью учетных данных NTLM, но его нельзя делегировать дальше, не используя ограниченное делегирование. Дополнительные сведения см. в статье "Сбой входа для пользователя NT AUTHORITY\ANONYMOUS LOGON".

    Решение. Чтобы устранить эту проблему, администратор домена должен настроить ограниченное делегирование.

  • Проверка подлинности в режиме ядра— имя субъекта-службы в учетной записи пула приложений обычно требуется для веб-серверов. Однако при использовании проверки подлинности в режиме ядра имя субъекта-службы узла компьютера используется для проверки подлинности. Это действие происходит в ядре. Этот параметр может использоваться, если сервер размещает множество разных веб-сайтов, использующих один и тот же URL-адрес заголовка узла, разные учетные записи пула приложений и проверку подлинности Windows.

    Решение. Удалите HTTP-имена субъектов-служб, если включена проверка подлинности в режиме ядра.

  • Ограничить права делегирования доступом или Excel — поставщики технологии совместного модуля (JET) и подсистемы подключения доступа (ACE) похожи на любую из файловых систем. Для чтения файлов, расположенных на другом компьютере, необходимо использовать ограниченное делегирование. Как правило, поставщик ACE не должен использоваться на связанном сервере, так как это явно не поддерживается. Поставщик JET устарел и доступен только на 32-разрядных компьютерах.

    Примечание.

    Когда SQL Server 2014, последняя версия для поддержки 32-разрядных установок, выходит из поддержки, сценарий JET больше не будет поддерживаться.

  • Отсутствует имя субъекта-службы. Эта проблема может возникнуть, если имя субъекта-службы, связанное с экземпляром SQL Sever, отсутствует.

    Решение. Дополнительные сведения см. в разделе "Исправление ошибки" с помощью Диспетчера конфигурации Kerberos (рекомендуется).

  • Не ограниченный целевой объект . Если для определенной учетной записи службы включено ограниченное делегирование, Kerberos завершится ошибкой, если имя субъекта-службы целевого сервера не находится в списке целевых объектов ограниченного делегирования.

    Решение. Чтобы устранить эту проблему, администратор домена должен добавить имя участника-службы целевого сервера в целевые имена субъектов-служб учетной записи службы среднего уровня.

  • NTLM и ограниченное делегирование . Если целевой ресурс является общей папкой, то тип делегирования учетной записи службы среднего уровня должен быть ограничен и не ограничен kerberos. Если для типа делегирования задано значение Constrained-Kerberos, то учетная запись среднего уровня может выделяться только определенным службам, но с ограниченным доступом позволяет учетной записи службы делегировать любую службу.

    Решение. Чтобы устранить эту проблему, ознакомьтесь с ошибкой входа пользователя NT AUTHORITY\ANONYMOUS LOGON.

  • Учетная запись службы не может быть доверенным для делегирования в AD . В сценарии двойного прыжка учетная запись службы среднего уровня должна быть доверенным для делегирования в AD DS. Если учетная запись службы не является доверенной для делегирования, проверка подлинности Kerberos может завершиться ошибкой.

    Решение. Если вы являетесь администратором, включите параметр "Доверенный" для делегирования .

  • Некоторые устаревшие поставщики не поддерживают Kerberos через именованные каналы . Устаревший поставщик OLE DB (SQLOLEDB) и поставщик ODBC (SQL Server), которые входят в пакет с Windows, не предлагают поддержку проверки подлинности Kerberos через именованные каналы. Вместо этого они поддерживают только проверку подлинности NTLM.

    Решение. Используйте TCP-подключение, чтобы разрешить проверку подлинности Kerberos. Вы также можете использовать более новый драйвер, например MSOLEDBSQL или ODBC Driver 17. Но TCP по-прежнему предпочтительнее именованных каналов, независимо от версии драйвера.

  • Имя участника-службы связано с неправильной учетной записью. Эта проблема может возникнуть, если имя участника-службы связано с неправильной учетной записью в AD DS. Дополнительные сведения см. в разделе "Исправление ошибки" с помощью Диспетчера конфигурации Kerberos (рекомендуется).

    Если имя субъекта-службы настроено на неправильной учетной записи в AD DS, может появиться сообщение об ошибке.

    Решение. Чтобы устранить ошибку, выполните следующие действия.

    1. Используется SETSPN -Q spnName для поиска имени участника-службы и текущей учетной записи.
    2. Используется SETSPN -D для удаления существующих имен субъектов-служб.
    3. SETSPN -S Используйте для переноса имени участника-службы в правильную учетную запись.

  • Псевдоним SQL может не работать правильно . Псевдоним SQL Server может вызвать непредвиденное создание имени субъекта-службы. Это приводит к сбою учетных данных NTLM, если имя субъекта-службы не найдено, или сбой SSPI, если он непреднамеренно соответствует имени участника-службы другого сервера.

    Решение. Псевдонимы SQL отображаются в отчете SQLCHECK. Чтобы устранить проблему, определите и исправьте неправильные или неправильно настроенные псевдонимы SQL, чтобы они указывали на правильный SQL Server.

  • Пользователь принадлежит ко многим группам. Если пользователь принадлежит нескольким группам , в Kerberos могут возникнуть проблемы с проверкой подлинности. Если вы используете Kerberos для UDP, весь маркер безопасности должен соответствовать одному пакету. Пользователи, принадлежащие многим группам, имеют более крупный маркер безопасности, чем пользователи, принадлежащие меньшему числу групп.

    Решение. Если вы используете Kerberos через TCP, можно увеличить параметр [MaxTokenSize] . Дополнительные сведения см. в статье MaxTokenSize и Kerberos Token Bloat.

  • Используйте заголовок узла веб-сайта. Заголовок узла HTTP играет очень важную роль в протоколе HTTP для доступа к веб-страницам.

    Решение. Если у веб-сайта есть имя заголовка узла, имя участника-службы HOSTS невозможно использовать. Необходимо использовать явное имя участника-службы HTTP. Если у веб-сайта нет имени заголовка узла, используется NTLM. NTLM нельзя делегировать в серверный экземпляр SQL Server или другую службу.

NT LAN Manager (NTLM)

В этом разделе перечислены проблемы, относящиеся к NTLM (NT LAN Manager):

  • Доступ запрещен для входа однорангового узла NTLM. Ссылается на проблему, связанную с именами входа одноранговых узлов NTLM.

    Решение. При обмене данными между компьютерами, которые находятся на рабочих станциях или доменах, которые не доверяют друг другу, можно настроить одинаковые учетные записи на обоих компьютерах и использовать проверку подлинности однорангового узла NTLM.

    Имена входа работают только в том случае, если учетная запись пользователя и пароль совпадают на обоих компьютерах. Проверка подлинности NTLM может быть отключена или не поддерживается на стороне клиента или сервера. Эта ситуация может привести к сбоям проверки подлинности. Дополнительные сведения см. в MSSQLSERVER_18456.

  • Сценарии двойного прыжка на нескольких компьютерах — процесс двойного прыжка завершится ошибкой, если используются учетные данные NTLM. Необходимы учетные данные Kerberos.

    Решение. Чтобы устранить эту проблему, ознакомьтесь с ошибкой входа пользователя NT AUTHORITY\ANONYMOUS LOGON.

  • Защита от обратного цикла не задана правильно . Защита loopback предназначена для запрета приложений вызывать другие службы на том же компьютере. Если защита обратного цикла настроена неправильно или если возникла ошибка, эта ситуация может косвенно вызвать проблемы с проверкой подлинности.

    Решение. Чтобы устранить эту проблему, см . MSSQLSERVER_18456.

  • При подключении к прослушивателю Always-on происходит сбой защиты от обратного цикла. Эта проблема связана с защитой обратного цикла. При подключении к прослушивателю Always-On из первичного узла подключение использует проверку подлинности NTLM.

    Решение. Дополнительные сведения см. в MSSQLSERVER_18456.

  • Проблема, влияющая на уровень совместимости LANMAN. Проблема с проверкой подлинности LAN Manager (LANMAN) обычно возникает, если несоответствие существует в протоколах проверки подлинности, используемых старыми (до Windows Server 2008) и более новыми компьютерами. Если задать для уровня совместимости значение 5, NTLMv2 не разрешено.

    Решение. Переключение на Kerberos избегает этой проблемы, так как Kerberos является более безопасным. Дополнительные сведения см. в статье "Сбой входа для пользователя NT AUTHORITY\ANONYMOUS LOGON".

имя для входа SQL

В этом разделе перечислены проблемы, связанные с учетными данными проверки подлинности:

  • Недопустимый пароль . Относится к проблеме, связанной с именем входа.

    Решение. Чтобы устранить эту проблему, см . MSSQLSERVER_18456.

  • Недопустимое имя пользователя — относится к проблеме, связанной с именем входа.

    Решение. Чтобы устранить эту проблему, см . MSSQLSERVER_18456.

  • Имена входа SQL Server не включены . Ссылается на сценарий, в котором вы пытаетесь подключиться к экземпляру Microsoft SQL Server с помощью проверки подлинности SQL Server, но имя входа, связанное с учетной записью, отключено.

    Решение. Чтобы устранить эту проблему, см . MSSQLSERVER_18456.

  • Подключения именованных каналов завершаются ошибкой, так как у пользователя нет разрешения на вход в Windows . Указывает на проблему с разрешениями в Windows.

    Решение. Чтобы устранить эту проблему, см . статью "Проблемы с подключениями именованных каналов" в SQL Server.

Разрешения Windows

В этом разделе перечислены проблемы, относящиеся к разрешениям Или параметрам политики Windows:

  • Доступ предоставляется через локальные группы . Если пользователь не принадлежит локальной группе, которая используется для предоставления доступа к серверу, поставщик отображает сообщение об ошибке "Ошибка входа для пользователя contoso/user1".

    Решение. Администратор базы данных может проверить эту ситуацию, проверив папку "Имена входа безопасности>" в SQL Server Management Studio (SSMS). Если база данных является автономной базой данных, проверьте его databasename. Дополнительные сведения см. в>< разделе "Имя пользователя" или имя входа пользователя сбоем для пользователя "<domain>\<username>".

  • Credential guard включен . Этот сценарий указывает, что функция Credential Guard включена в системе Windows и используется для создания безопасной среды для хранения конфиденциальной информации. Однако в некоторых ситуациях эта функция может вызвать проблемы с проверкой подлинности.

    Решение. Чтобы устранить эту проблему, попросите администратора домена настроить ограниченное делегирование. Дополнительные сведения см. в разделе "Рекомендации" и известные проблемы при использовании Credential Guard.

  • Ошибки локальной подсистемы безопасности. При возникновении ошибок локальной подсистемы безопасности, особенно тех, которые связаны с LSASS, становятся неответственными, это может указывать на базовые проблемы, влияющие на проверку подлинности.

    Решение. Чтобы устранить эти ошибки, см . сведения об ошибках локальной подсистемы безопасности в SQL Server.

  • Запрещено вход в сеть. Этот сценарий возникает при попытке войти в сеть, но запрос на вход запрещен по определенным причинам.

    Решение. Чтобы устранить эту проблему, см . сведения о том, что у пользователя нет разрешений на вход в сеть.

  • Только администраторы могут войти в систему. Эта проблема возникает, если журнал безопасности на компьютере заполнен и не имеет достаточно места для заполнения событий. Функция безопасности CrashOnAuditFail используется системными администраторами для проверки всех событий безопасности. Допустимые значения: CrashOnAuditFail 0, 1 и 2. Если для ключа CrashOnAuditFail задано значение 2, это означает, что журнал безопасности заполнен и отображается сообщение об ошибке "Только администраторы могут войти".

    Решение. Чтобы устранить эту проблему, выполните следующие действия.

    1. Запустите редактор реестра.
    2. Найдите и проверьте HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa!crashonauditfail подраздел, чтобы узнать, задано ли значение 2. Это значение указывает на то, что журнал безопасности требует ручной очистки.
    3. Задайте значение 0, а затем перезапустите сервер. Кроме того, может потребоваться изменить журнал безопасности, чтобы включить перекат событий. Дополнительные сведения о том, как параметр влияет на все службы, такие как SQL, IIS, общий файловый ресурс и вход, см. в статье "Пользователи не могут получить доступ к веб-сайтам, когда журнал событий безопасности заполнен".

    Примечание.

    Эта проблема влияет только на интегрированные имена входа. Подключение именованных каналов также будет затронуто в имени входа SQL Server, так как именованные каналы сначала входят в канал администрирования Windows перед подключением к SQL Server.

  • Учетная запись службы не является доверенной для делегирования . Обычно эта проблема возникает, если учетной записи службы запрещено назначать учетные данные другим серверам. Эта проблема может повлиять на службы, требующие делегирования.

    Решение. Если сценарий делегирования не включен, проверьте sql Server secpol.msc, чтобы определить, указана ли учетная запись службы SQL Server в разделе "Назначение > прав пользователей локальных политик>" олицетворения клиента после параметров политики безопасности проверки подлинности. Дополнительные сведения см. в разделе Разрешение доверия к учетным записям компьютеров и пользователей при делегировании.

  • Профиль пользователя Windows не может быть загружен в SQL Server . Ссылается на проблему с профилем пользователей Windows.

    Решение. Дополнительные сведения об устранении неполадок с поврежденными профилями пользователей см. в статье о том, что профиль пользователя Windows не может быть загружен в SQL Server.

Другие аспекты

В этом разделе перечислены проблемы, связанные с проверкой подлинности и контролем доступа в веб-среде:

  • Встроенная проверка подлинности не включена . Ссылается на проблему конфигурации, в которой встроенная проверка подлинности Windows (IWA) не настроена правильно.

    Решение. Чтобы устранить эту проблему, убедитесь, что параметр встроенной проверки подлинности Windows включен в параметрах параметров браузера .

  • Проверка подлинности IIS не разрешена . Эта проблема возникает из-за неправильной настройки в IIS. Параметры проверки подлинности, определенные в файле web.config веб-приложения, могут конфликтуть с параметрами, настроенными в IIS. Эта ситуация может вызвать проблемы с проверкой подлинности.

    Решение. Чтобы устранить эту проблему, настройте веб-сайт, чтобы включить проверку подлинности Windows и задать <identity impersonate="true"/> значение в файле web.config .

  • Неправильная зона Интернета. Эта проблема может возникнуть, если вы пытаетесь получить доступ к веб-сайту, который не указан в правильной зоне Интернета в Internet Explorer. Учетные данные не будут работать, если веб-сайт находится в локальной зоне интрасети.

    Решение. Добавьте веб-сервер в локальную зону интрасети IE.

Заявление об отказе от ответственности за сведения о продуктах сторонних производителей

В этой статье упомянуты программные продукты независимых производителей. Корпорация Microsoft не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.

Дополнительная информация

Сбор данных для устранения неполадок с подключением к SQL Server