Seperti yang disebutkan dalam pembaruan pertanyaan saya, mengubah akun layanan menjadi Domain2
menyelesaikan masalah. Jadi apa yang terjadi?
Masalahnya - Dijelaskan
Dari apa yang saya tahu (juga dengan bantuan dari perwakilan Microsoft), karena akun layanan awalnya adalah Domain1
pengguna, itu tidak dapat menentukan grup lokal domain apa yang menjadi anggota pengguna penghubung saat pengguna mengautentikasi melalui Kerberos. Petunjuk utama bahwa ini adalah masalah Kerberos adalah ketika saya berhasil terhubung menggunakan "Named Pipes" karena ini menggunakan otentikasi NTLM.
Solusi Keseluruhan
Untuk menyatukan semuanya, untuk berhasil menambahkan pengguna dari Domain1
dan Domain3
sebagai anggota grup di Domain2
agar grup dapat digunakan sebagai login SQL Server dengan otentikasi Windows, berikut adalah daftar persyaratannya (atau setidaknya sangat dianjurkan):
- Membangun hubungan kepercayaan antar domain
- Minimal, trust 1 arah harus diatur agar
Domain2
mempercayaiDomain1
danDomain3
- Minimal, trust 1 arah harus diatur agar
- Grup di
Domain2
harus dicakup "Domain Lokal"- Ini agar Anda dapat menambahkan pengguna dan grup dari
Domain1
danDomain3
- Lihat di sini untuk info lebih lanjut
- Ini agar Anda dapat menambahkan pengguna dan grup dari
- Gunakan SQL Server Configuration Manager untuk menetapkan
Domain2
non-administratif pengguna sebagai identitas akun layanan- Dokumen MSDN mengapa menggunakan akun pengguna domain mungkin lebih disukai
- Meskipun manajer konfigurasi seharusnya menambahkan pengguna ke grup khusus SQL Server 2005 lokal untuk Anda (yaitu SQLServer2005MSSQLUser$MY_MACHINE$MY_INSTANCE), saya mengalami beberapa contoh di mana ini tidak terjadi. Jadi, cukup periksa grup lokal Anda untuk memastikan mereka telah diperbarui dengan tepat dengan
Domain2
Anda akun pengguna. - Meskipun penyiapan SQL Server harus secara otomatis menetapkan izin yang sesuai untuk grup lokal mereka, sekali lagi, saya mengalami beberapa contoh di mana hal ini tidak terjadi. Jika ini terjadi pada Anda, Anda dapat merujuk artikel MSDN ini bersama dengan artikel yang disebutkan sebelumnya untuk persyaratan izin.
- Mengonfigurasi Nama Utama Layanan (SPN) untuk host instans SQL Server (termasuk semua alias) dan
Domain2
akun layanan- SPN diperlukan untuk otentikasi timbal balik antara klien dan host server
- Lihat artikel TechNet ini untuk info lebih lanjut
- Tergantung pada bagaimana Anda ingin menggunakan peniruan identitas, Anda mungkin ingin mengaktifkan
Domain2
akun layanan untuk dipercaya untuk didelegasikan- Lihat artikel TechNet ini untuk info lebih lanjut
- Aktifkan koneksi jarak jauh untuk instance SQL Service
- Terakhir, buat login untuk
Domain2
yang diinginkan grup danDomain1
atauDomain3
anggota harus dapat terhubung dari jarak jauh!
Catatan
Seperti biasa dengan aktivitas jaringan jarak jauh apa pun, periksa firewall Anda untuk memastikan port SQL Server Anda tidak diblokir. Meskipun port default adalah 1433, periksa untuk memastikan port Anda dalam keadaan kosong.