SQL Server 中的本地安全子系统错误
本文可帮助解决连接到与无响应本地安全机构子系统服务(LSASS)相关的 SQL Server 时出现的一致身份验证问题。
现象
可能会遇到与 LSASS 相关的安全子系统问题。 Windows 身份验证驱动程序可能会显示“登录名来自不受信任的域,不能用于Windows 身份验证”错误消息。
检查Microsoft SQL Server 错误日志是否显示以下条目:
SSPI 握手失败,错误代码0x80090311,状态 14,同时与集成安全性建立连接;连接已关闭。 原因:AcceptSecurityContext 失败。 此 Windows 错误代码指示错误的原因。
SSPI 握手失败,错误代码0x80090304,状态 14,同时与集成安全性建立连接;连接已关闭。 原因:AcceptSecurityContext 失败。 此 Windows 错误代码指示错误的原因。
你可能还会在同一时间范围内运行 SQL Server 的服务器上的系统事件日志中看到 Kerberos 错误。 下面的错误代码指示:
错误 - 2146893039(0x80090311):无法联系颁发机构进行身份验证。
原因
当 LSASS 停止响应时,会发生这些错误。
解决方法
若要解决 LSASS 错误,请执行以下步骤:
检查服务主体名称(SPN)是否已在域控制器(DC)上正确注册。
setspn -Q使用或setspn -L命令在帐户中分别查询 SPN 和 SPN。