Sqlserver
 sql >> Teknologi Basis Data >  >> RDS >> Sqlserver

Login SQL Server Lintas Domain Menggunakan Otentikasi Windows

Seperti yang disebutkan dalam pembaruan pertanyaan saya, mengubah akun layanan menjadi Domain2 menyelesaikan masalah. Jadi apa yang terjadi?

Masalahnya - Dijelaskan

Dari apa yang saya tahu (juga dengan bantuan dari perwakilan Microsoft), karena akun layanan awalnya adalah Domain1 pengguna, itu tidak dapat menentukan grup lokal domain apa yang menjadi anggota pengguna penghubung saat pengguna mengautentikasi melalui Kerberos. Petunjuk utama bahwa ini adalah masalah Kerberos adalah ketika saya berhasil terhubung menggunakan "Named Pipes" karena ini menggunakan otentikasi NTLM.

Solusi Keseluruhan

Untuk menyatukan semuanya, untuk berhasil menambahkan pengguna dari Domain1 dan Domain3 sebagai anggota grup di Domain2 agar grup dapat digunakan sebagai login SQL Server dengan otentikasi Windows, berikut adalah daftar persyaratannya (atau setidaknya sangat dianjurkan):

  1. Membangun hubungan kepercayaan antar domain
    1. Minimal, trust 1 arah harus diatur agar Domain2 mempercayai Domain1 dan Domain3
  2. Grup di Domain2 harus dicakup "Domain Lokal"
    1. Ini agar Anda dapat menambahkan pengguna dan grup dari Domain1 dan Domain3
    2. Lihat di sini untuk info lebih lanjut
  3. Gunakan SQL Server Configuration Manager untuk menetapkan Domain2 non-administratif pengguna sebagai identitas akun layanan
    1. Dokumen MSDN mengapa menggunakan akun pengguna domain mungkin lebih disukai
    2. Meskipun manajer konfigurasi seharusnya menambahkan pengguna ke grup khusus SQL Server 2005 lokal untuk Anda (yaitu SQLServer2005MSSQLUser$MY_MACHINE$MY_INSTANCE), saya mengalami beberapa contoh di mana ini tidak terjadi. Jadi, cukup periksa grup lokal Anda untuk memastikan mereka telah diperbarui dengan tepat dengan Domain2 Anda akun pengguna.
    3. Meskipun penyiapan SQL Server harus secara otomatis menetapkan izin yang sesuai untuk grup lokal mereka, sekali lagi, saya mengalami beberapa contoh di mana hal ini tidak terjadi. Jika ini terjadi pada Anda, Anda dapat merujuk artikel MSDN ini bersama dengan artikel yang disebutkan sebelumnya untuk persyaratan izin.
  4. Mengonfigurasi Nama Utama Layanan (SPN) untuk host instans SQL Server (termasuk semua alias) dan Domain2 akun layanan
    1. SPN diperlukan untuk otentikasi timbal balik antara klien dan host server
    2. Lihat artikel TechNet ini untuk info lebih lanjut
  5. Tergantung pada bagaimana Anda ingin menggunakan peniruan identitas, Anda mungkin ingin mengaktifkan Domain2 akun layanan untuk dipercaya untuk didelegasikan
    1. Lihat artikel TechNet ini untuk info lebih lanjut
  6. Aktifkan koneksi jarak jauh untuk instance SQL Service
  7. Terakhir, buat login untuk Domain2 yang diinginkan grup dan Domain1 atau Domain3 anggota harus dapat terhubung dari jarak jauh!

Catatan

Seperti biasa dengan aktivitas jaringan jarak jauh apa pun, periksa firewall Anda untuk memastikan port SQL Server Anda tidak diblokir. Meskipun port default adalah 1433, periksa untuk memastikan port Anda dalam keadaan kosong.



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Bagaimana cara mengatur nama tabel dalam kueri SQL dinamis?

  2. Menyimpan data UTF-16/Unicode di SQL Server

  3. Bagaimana cara mengatur batas waktu skrip SQL Server dari dalam skrip?

  4. SQL Server Standard Edition Ketersediaan Tinggi Berjangka

  5. Bagaimana Anda menerapkan urutan di Microsoft SQL Server?