Compartir a través de

Problemas de autenticación coherentes en SQL Server

  • Artículo

Se aplica a: SQL Server

Nota:

Los comandos que se proporcionan en este artículo solo se aplican a sistemas Windows.

Los problemas de autenticación coherente que se producen en Microsoft SQL Server suelen estar relacionados con la autenticación y autorización de usuarios o aplicaciones que intentan acceder a la base de datos de SQL Server. Estos problemas pueden ser errores de autenticación, errores de acceso denegado u otros problemas relacionados con la seguridad.

La clave para resolver eficazmente problemas de autenticación coherentes es comprender los diferentes tipos de error y lo que significa cada mensaje de error. Algunos errores pueden aparecer en más de un problema de autenticación. Puede usar la información de solución de problemas que se menciona en la sección Tipos de errores para resolver el error.

Requisitos previos

Antes de empezar a solucionar problemas, consulte la lista de comprobación de requisitos previos para tener lista la siguiente información:

Tipos de errores

En esta sección se describen los tipos de error y la información relacionada.

  • Errores de servicios de directorio: si el archivo de registro de errores de SQL Server contiene cualquiera de los mensajes siguientes o ambos, este error está relacionado con Active Directory Domain Services (AD DS). Este error también puede producirse si Windows en el equipo basado en SQL Server no puede ponerse en contacto con el controlador de dominio (DC) o si el servicio del subsistema de autoridad de seguridad local (LSASS) experimenta un problema.

    Error -2146893039 (0x80090311): No authority could be contacted for authentication.
Error -2146893052 (0x80090304): The Local Security Authority cannot be contacted.

  • Errores de inicio de sesión: al solucionar el error "Error de inicio de sesión", el registro de errores de SQL Server proporciona información adicional sobre el código de error 18456, incluido un valor de estado específico que ofrece más contexto sobre el error. Para obtener más información, vea el archivo de registro de errores de SQL Server en el valor de estado de SQL. Puede intentar corregir el problema según la descripción del valor de estado.

    En la tabla siguiente se enumeran algunos mensajes de error específicos de "Error de inicio de sesión" y sus posibles causas y soluciones.

    Mensaje de error Más información
    "Se ha producido un error de nivel de transporte al enviar la solicitud al servidor". Compruebe si la asignación de la cuenta del servidor vinculado es correcta. Para obtener más información, consulte sp_addlinkedsrvlogin.
    "No se puede generar el contexto SSPI"
    "No se puede abrir la prueba> de base de datos <solicitada por el inicio de sesión. Error en el inicio de sesión". Es posible que la base de datos esté sin conexión o que los permisos no sean suficientes. Para obtener más información, vea Base de datos sin conexión en MSSQLSERVER_18456.
    Además, compruebe si el nombre de la base de datos de la cadena de conexión es correcto.
    "Error de inicio de sesión para el nombre de usuario> del usuario<". Este error puede producirse si la cuenta de proxy no se autentica correctamente.
    "Error de inicio de sesión para el usuario: 'NT AUTHORITY\ANONYMOUS LOGON'" Este error puede producirse si falta el SPN, el SPN está duplicado o el SPN está en la cuenta incorrecta.
    "Error de inicio de sesión para el nombre de usuario> del usuario<".
    "Error de inicio de sesión del usuario "<database\username>"
    		 Compruebe si una cadena de conexión contiene un nombre de servidor incorrecto. Además, compruebe si el usuario pertenece a un grupo local que se usa para conceder acceso al servidor. Para obtener más causas, vea NT AUTHORITY\ANONYMOUS LOGON.
    "Error de inicio de sesión del usuario '<username>'. Motivo: La contraseña no coincide con la del inicio de sesión proporcionado." Este error puede producirse si se usa una contraseña incorrecta. Para obtener más información, consulte Error de inicio de sesión del usuario "<nombre de usuario>" o error de inicio de sesión para el usuario "nombre de usuario de> dominio><"<.
    "SQL Server no existe o el acceso denegado". Se produce un error en las conexiones de canalizaciones con nombre porque el usuario no tiene permiso para iniciar sesión en Windows.
    "El inicio de sesión es de un dominio que no es de confianza y no se puede usar con la autenticación de Windows". Este error podría estar relacionado con los problemas del Subsistema de seguridad local .
    "No se permite el tipo de inicio de sesión de red en la cuenta de usuario". Es posible que no pueda iniciar sesión en la red.

Tipos de problemas de autenticación coherentes

En esta sección se describen las causas típicas de problemas de autenticación coherentes junto con sus soluciones respectivas. Seleccione el tipo de problema para ver los problemas, las causas y las soluciones pertinentes.

Cadena de conexión

En esta sección se enumeran los problemas relacionados con la configuración que usan las aplicaciones para conectarse a una base de datos.

Base

En esta sección se enumeran los problemas específicos de varios aspectos de SQL Server:

  • Base de datos sin conexión : hace referencia a un escenario en el que una base de datos de SQL Server intenta volver a conectarse a una instancia de SQL Server configurada para el modo de autenticación de Windows.

    Solución: Para obtener más información, consulte MSSQLSERVER_18456.

  • Permisos de base de datos : hace referencia a la habilitación o restricción del acceso a una base de datos de SQL Server.

    Solución: Para obtener más información, consulte MSSQLSERVER_18456.

  • Errores de conectividad del servidor vinculado en SQL Server : experimenta un problema de proceso de autenticación que afecta a los servidores vinculados en el contexto de SQL Server.

    Solución: Para resolver este problema, consulte Errores de conectividad del servidor vinculado en SQL Server.

  • Los metadatos del servidor vinculado son incoherentes : hace referencia a un problema en el que los metadatos del servidor vinculado son incoherentes o no coinciden con los metadatos esperados.

    Una vista o procedimiento almacenado consulta las tablas o vistas en el servidor vinculado, pero recibe errores de inicio de sesión aunque una instrucción distribuida SELECT que se copia del procedimiento no lo haga.

    Este problema podría producirse si se creó la vista y, a continuación, se volvió a crear el servidor vinculado, o si se modificó una tabla remota sin volver a generar la vista.

    Solución: actualice los metadatos del servidor vinculado mediante la ejecución del sp_refreshview procedimiento almacenado.

  • La cuenta de proxy no tiene permisos : un trabajo de SQL Server Integration Service (SSIS) que ejecuta el Agente SQL puede requerir permisos distintos de los que puede proporcionar la cuenta de servicio del Agente SQL.

    Solución: Para resolver este problema, vea El paquete SSIS no se ejecuta cuando se llama desde un paso de trabajo del Agente SQL Server.

  • No se puede iniciar sesión en la base de datos de SQL Server : la incapacidad para iniciar sesión puede provocar errores en la autenticación.

    Solución: Para resolver este problema, consulte MSSQLSERVER_18456.

Servicios de directorio

En esta sección se enumeran los problemas relacionados con los servicios de directorio y los servidores.

  • Una cuenta está deshabilitada : puede experimentar este escenario si un administrador o un usuario deshabilita la cuenta de usuario. En este caso, no puede iniciar sesión con esta cuenta o no puede usar esta cuenta para iniciar un servicio. Esto puede provocar problemas de autenticación coherentes, ya que puede impedir que acceda a recursos o realice acciones que requieran autenticación.

    Solución: Un administrador de dominio puede corregirlo si vuelve a habilitar la cuenta. Cuando una cuenta está deshabilitada, normalmente se debe a que un usuario intentó iniciar sesión con la contraseña incorrecta demasiadas veces o porque una aplicación o servicio está intentando usar una contraseña antigua.

  • Una cuenta no está en el grupo : este problema puede producirse si un usuario intenta acceder a un recurso restringido a un grupo específico.

    Solución: Compruebe los inicios de sesión de SQL para enumerar los grupos permitidos y asegúrese de que el usuario pertenece a uno de los grupos.

  • Error en la migración de la cuenta: si las cuentas de usuario antiguas no se pueden conectar al servidor pero las cuentas recién creadas pueden, es posible que la migración de la cuenta no sea correcta. Este problema está relacionado con AD DS.

    Solución: Para obtener más información, consulte Transferencia de inicios de sesión y contraseñas entre instancias de SQL Server.

  • Controlador de dominio está sin conexión : hace referencia a un problema en el que no se puede acceder al controlador de dominio.

    Solución: Use el nltest comando para forzar al equipo a cambiar a otro controlador de dominio. Para obtener más información, consulte Id. de evento de replicación de Active Directory 2087: Error de búsqueda de DNS que provocó un error en la replicación.

  • Firewall bloquea el controlador de dominio : es posible que experimente problemas al administrar el acceso del usuario a los recursos.

    Solución: Asegúrese de que el controlador de dominio es accesible desde el cliente o el servidor. Para ello, use el nltest /SC_QUERY:CONTOSO comando .

  • El inicio de sesión es desde un dominio que no es de confianza: este problema está relacionado con el nivel de confianza entre dominios. Es posible que vea el siguiente mensaje de error: "Error de inicio de sesión. El inicio de sesión procede de un dominio que no es de confianza y no se puede usar con la autenticación de Windows. (18452)."

    El error 18452 indica que el inicio de sesión usa la autenticación de Windows, pero el inicio de sesión es una entidad de seguridad de Windows no reconocida. Una entidad de seguridad de Windows no reconocida indica que Windows no puede comprobar el inicio de sesión. Esto puede ocurrir porque el inicio de sesión de Windows procede de un dominio que no es de confianza. El nivel de confianza entre dominios puede provocar errores en la autenticación de la cuenta o la visibilidad del nombre del proveedor de servicios (SPN).

    Solución: Para resolver este problema, consulte MSSQLSERVER_18452.

  • Sin permisos para grupos entre dominios : los usuarios del dominio remoto deben pertenecer a un grupo del dominio de SQL Server. Puede haber un problema si intenta usar un grupo local de dominio para conectarse a una instancia de SQL Server desde otro dominio.

    Solución: Si los dominios carecen de confianza adecuada, agregar los usuarios de un grupo en el dominio remoto podría impedir que el servidor enumere la pertenencia del grupo.

  • La autenticación selectiva está deshabilitada : hace referencia a una característica de confianzas de dominio que permite al administrador de dominio limitar qué usuarios tienen acceso a los recursos del dominio remoto. Si la autenticación selectiva no está habilitada, todos los usuarios del dominio de confianza pueden obtener acceso al dominio remoto.

    Solución: Para resolver este problema, habilite la autenticación selectiva para asegurarse de que los usuarios no tienen permiso para autenticarse en el dominio remoto.

Autenticación Kerberos

En esta sección se enumeran los problemas relacionados con la autenticación Kerberos:

  • Se anexa un sufijo DNS incorrecto al nombre NetBIOS : este problema puede producirse si solo usa el nombre NetBIOS (por ejemplo, SQLPROD01) en lugar del nombre de dominio completo (FQDN) (por ejemplo, SQLPROD01.CONTOSO.COM). Cuando esto ocurre, se puede anexar el sufijo DNS incorrecto.

    Solución: Compruebe la configuración de red de los sufijos predeterminados para asegurarse de que son correctos o use el FQDN para evitar problemas.

  • La asimetría del reloj es demasiado alta : este problema podría producirse si no se sincronizan varios dispositivos de una red. Para que la autenticación Kerberos funcione, los relojes entre dispositivos no se pueden desactivar durante más de cinco minutos o pueden producirse errores de autenticación coherentes.

    Solución: Configure los equipos para sincronizar regularmente sus relojes con un servicio de hora central.

  • Delegación de cuentas confidenciales a otros servicios : es posible que algunas cuentas se marquen como Sensitive en AD DS. Estas cuentas no se pueden delegar en otro servicio en un escenario de salto doble. Las cuentas confidenciales son fundamentales para proporcionar seguridad, pero pueden afectar a la autenticación.

    Solución: Para resolver este problema, consulte Error de inicio de sesión del usuario NT AUTHORITY\ANONYMOUS LOGON.

  • Delegación a un recurso compartido de archivos : hace referencia a una situación en la que un usuario o aplicación delega sus credenciales para acceder a un recurso compartido de archivos. Sin las restricciones adecuadas, delegar credenciales en un recurso compartido de archivos puede crear riesgos de seguridad.

    Solución: Para resolver este tipo de problema, asegúrese de usar la delegación restringida.

  • Espacio de nombres DNS separado : hace referencia a un problema de autenticación coherente que podría producirse si el sufijo DNS no coincide entre el miembro de dominio y DNS. Puede experimentar problemas de autenticación si usa un espacio de nombres separado. Si la jerarquía organizativa en AD DS y en DNS no coinciden, es posible que se genere el SPN incorrecto si usa el nombre NETBIOS en la cadena de conexión de la aplicación de base de datos. En esta situación, no se encuentra el SPN y se usan las credenciales de New Technology LAN Manager (NTLM) en lugar de las credenciales de Kerberos.

    Solución: Para mitigar el problema, use el FQDN del servidor o especifique el nombre de SPN en la cadena de conexión. Para obtener información sobre el FQDN, consulte Nomenclatura de equipos.

  • SPN duplicado : hace referencia a una situación en la que dos o más SPN son idénticos dentro de un dominio. Los SPN se usan para identificar de forma única los servicios que se ejecutan en servidores de un dominio de Windows. Los SPN duplicados pueden causar problemas de autenticación.

    Solución: Para resolver este problema, consulte Corrección del error con Kerberos Configuration Manager (recomendado).

  • Habilitar puertos HTTP en SPN : normalmente, los SPN HTTP no usan números de puerto (por ejemplo, http/web01.contoso.com).

    Solución: Para resolver este problema, puede habilitarlo mediante la directiva de los clientes. A continuación, el SPN tendría que estar en el http/web01.contoso.com:88 formato para permitir que Kerberos funcione correctamente. De lo contrario, se usan credenciales NTLM.

    No se recomiendan las credenciales NTLM porque podrían dificultar el diagnóstico del problema. Además, esta situación podría generar una sobrecarga administrativa excesiva.

  • Vales expirados : hace referencia a vales kerberos. El uso de vales kerberos expirados puede causar problemas de autenticación.

    Solución: Para resolver este problema, consulte Vales expirados.

  • El archivo HOSTS no es correcto : el archivo HOSTS puede interrumpir las búsquedas DNS y puede generar un nombre SPN inesperado. Esta situación hace que se usen las credenciales NTLM. Si hay una dirección IP inesperada en el archivo HOSTS, es posible que el SPN generado no coincida con el servidor back-end al que se apunta.

    Solución: Revise el archivo HOSTS y quite las entradas del servidor. Las entradas de archivo HOSTS se muestran en el informe SQLCHECK.

  • Problema con los permisos de identificador de seguridad por servicio (SID ): per-service-SID es una característica de seguridad de SQL Server que limita las conexiones locales para usar NTLM y no Kerberos como método de autenticación. El servicio puede realizar un único salto a otro servidor mediante credenciales NTLM, pero no se puede delegar aún más sin usar la delegación restringida. Para obtener más información, vea Error de inicio de sesión del usuario NT AUTHORITY\ANONYMOUS LOGON.

    Solución: Para resolver este problema, el administrador de dominio debe configurar la delegación restringida.

  • Autenticación en modo kernel : el SPN de la cuenta del grupo de aplicaciones suele ser necesario para los servidores web. Sin embargo, cuando se usa la autenticación en modo kernel, se usa el SPN host del equipo para la autenticación. Esta acción tiene lugar en el kernel. Esta configuración puede usarse si el servidor hospeda muchos sitios web diferentes que usan la misma dirección URL de encabezado de host, diferentes cuentas de grupo de aplicaciones y autenticación de Windows.

    Solución: Quite los SPN HTTP si la autenticación en modo kernel está habilitada.

  • Limitar los derechos de delegación a Access o Excel : los proveedores Joint Engine Technology (JET) y Access Connectivity Engine (ACE) son similares a cualquiera de los sistemas de archivos. Debe usar la delegación restringida para permitir que SQL Server lea los archivos que se encuentran en otro equipo. En general, el proveedor ace no debe usarse en un servidor vinculado porque no se admite explícitamente. El proveedor JET está en desuso y solo está disponible en equipos de 32 bits.

    Nota:

    Cuando SQL Server 2014, la última versión que admite instalaciones de 32 bits, deja de ser compatible, ya no se admitirá el escenario JET.

  • Falta SPN : este problema puede producirse si falta un SPN relacionado con una instancia de SQL Sever.

    Solución: Para obtener más información, consulte Corrección del error con Kerberos Configuration Manager (recomendado).

  • No es un destino restringido : si la delegación restringida está habilitada para una cuenta de servicio determinada, Kerberos producirá un error si el SPN del servidor de destino no está en la lista de destinos de delegación restringida.

    Solución: Para resolver este problema, un administrador de dominio debe agregar el SPN del servidor de destino a los SPN de destino de la cuenta de servicio de nivel intermedio.

  • NTLM y delegación restringida : si el destino es un recurso compartido de archivos, el tipo de delegación de la cuenta de servicio de nivel medio debe ser Constrained-Any y no Constrained-Kerberos. Si el tipo de delegación está establecido en Constrained-Kerberos, la cuenta de nivel medio solo puede asignarse a servicios específicos, pero Constrained-Any permite que la cuenta de servicio delegue a cualquier servicio.

    Solución: Para resolver este problema, consulte Error de inicio de sesión del usuario NT AUTHORITY\ANONYMOUS LOGON.

  • No se puede confiar en la cuenta de servicio para la delegación en AD: en un escenario de salto doble, la cuenta de servicio del servicio de nivel medio debe ser de confianza para la delegación en AD DS. Si la cuenta de servicio no es de confianza para la delegación, se puede producir un error en la autenticación Kerberos.

    Solución: Si es administrador, habilite la opción Confianza para delegación .

  • Algunos proveedores heredados no admiten Kerberos a través de canalizaciones con nombre : el proveedor OLE DB heredado (SQLOLEDB) y el proveedor ODBC (SQL Server) que se agrupan con Windows no ofrecen compatibilidad con la autenticación Kerberos a través de canalizaciones con nombre. En su lugar, solo admiten la autenticación NTLM.

    Solución: Use una conexión TCP para permitir la autenticación Kerberos. También puede usar un controlador más reciente, por ejemplo, MSOLEDBSQL o ODBC Driver 17. Pero TCP sigue siendo preferible a canalizaciones con nombre, independientemente de la versión del controlador.

  • EL SPN está asociado a una cuenta incorrecta : este problema puede producirse si un SPN está asociado a la cuenta incorrecta en AD DS. Para obtener más información, consulte Corrección del error con Kerberos Configuration Manager (recomendado).

    Es posible que reciba un mensaje de error si el SPN está configurado en la cuenta incorrecta de AD DS.

    Solución: Para resolver el error, siga estos pasos:

    1. Use SETSPN -Q spnName para buscar el SPN y su cuenta actual.
    2. Use SETSPN -D para eliminar los SPN existentes.
    3. SETSPN -S Use para migrar el SPN a la cuenta correcta.

  • Es posible que el alias de SQL no funcione correctamente : un alias de SQL Server podría provocar la generación de un SPN inesperado. Esto hace que se produzcan errores en las credenciales NTLM si no se encuentra el SPN o un error de SSPI si coincide involuntariamente con el SPN de otro servidor.

    Solución: Los alias de SQL se muestran en el informe SQLCHECK. Para resolver el problema, identifique y corrija los alias SQL incorrectos o mal configurados para que apunten a la instancia de SQL Server correcta.

  • El usuario pertenece a muchos grupos : si un usuario pertenece a varios grupos, pueden producirse problemas de autenticación en Kerberos. Si usa Kerberos a través de UDP, todo el token de seguridad debe caber en un solo paquete. Los usuarios que pertenecen a muchos grupos tienen un token de seguridad mayor que los usuarios que pertenecen a menos grupos.

    Solución: Si usa Kerberos a través de TCP, puede aumentar la configuración [MaxTokenSize]. Para obtener más información, vea MaxTokenSize y Kerberos Token Bloat.

  • Usar encabezado de host del sitio web : el encabezado host HTTP desempeña un papel muy importante en el protocolo HTTP para acceder a las páginas web.

    Solución: Si el sitio web tiene un nombre de encabezado de host, no se puede usar el SPN de HOSTS. Se debe usar un SPN HTTP explícito. Si el sitio web no tiene un nombre de encabezado de host, se usa NTLM. NTLM no se puede delegar en una instancia de SQL Server de back-end u otro servicio.

NT LAN Manager (NTLM)

En esta sección se enumeran los problemas específicos de NTLM (NT LAN Manager):

  • Se deniega el acceso para los inicios de sesión del mismo nivel de NTLM : hace referencia a un problema relacionado con los inicios de sesión del mismo nivel de NTLM.

    Solución: Al comunicarse entre equipos que se encuentran en estaciones de trabajo o dominios que no confían entre sí, puede configurar cuentas idénticas en ambos equipos y usar la autenticación del mismo nivel NTLM.

    Los inicios de sesión solo funcionan si la cuenta de usuario y la contraseña coinciden en ambos equipos. Es posible que la autenticación NTLM esté deshabilitada o no se admita en el lado cliente o servidor. Esta situación puede provocar errores de autenticación. Para obtener más información, consulte MSSQLSERVER_18456.

  • Escenarios de salto doble en varios equipos : se producirá un error en un proceso de salto doble si se usan credenciales NTLM. Las credenciales de Kerberos son necesarias.

    Solución: Para resolver este problema, consulte Error de inicio de sesión del usuario NT AUTHORITY\ANONYMOUS LOGON.

  • La protección contra bucles invertidos no se establece correctamente : loopback protect está diseñado para impedir que las aplicaciones llamen a otros servicios en el mismo equipo. Si la protección de bucle invertido no está configurada correctamente o si hay algún mal funcionamiento, esta situación puede provocar indirectamente problemas de autenticación.

    Solución: Para resolver este problema, consulte MSSQLSERVER_18456.

  • Se produce un error en la protección de bucle invertido al conectarse al agente de escucha Always-on : este problema está relacionado con la protección contra bucle invertido. Al conectarse al agente de escucha de Always-On desde el nodo principal, la conexión usa la autenticación NTLM.

    Solución: Para obtener más información, consulte MSSQLSERVER_18456.

  • Problema que afecta al nivel de compatibilidad de LANMAN : el problema de autenticación del Administrador de LAN (LANMAN) suele producirse si existe una falta de coincidencia en los protocolos de autenticación que usan equipos anteriores (anteriores a Windows Server 2008) y más recientes. Al establecer el nivel de compatibilidad en 5, no se permite NTLMv2.

    Solución: Cambiar a Kerberos evita este problema porque Kerberos es más seguro. Para obtener más información, vea Error de inicio de sesión del usuario NT AUTHORITY\ANONYMOUS LOGON.

Inicio de sesión de SQL

En esta sección se enumeran los problemas relacionados con las credenciales de autenticación:

  • Contraseña incorrecta : hace referencia a un problema relacionado con el inicio de sesión.

    Solución: Para resolver este problema, consulte MSSQLSERVER_18456.

  • Nombre de usuario no válido : hace referencia a un problema relacionado con el inicio de sesión.

    Solución: Para resolver este problema, consulte MSSQLSERVER_18456.

  • Los inicios de sesión de SQL Server no están habilitados : hace referencia a un escenario en el que intenta conectarse a una instancia de Microsoft SQL Server mediante la autenticación de SQL Server, pero el inicio de sesión asociado a la cuenta está deshabilitado.

    Solución: Para resolver este problema, consulte MSSQLSERVER_18456.

  • Se produce un error en las conexiones de canalizaciones con nombre porque el usuario no tiene permiso para iniciar sesión en Windows : hace referencia a un problema de permisos en Windows.

    Solución: Para resolver este problema, vea Problema de conexiones de canalizaciones con nombre en SQL Server.

Permisos de Windows

En esta sección se enumeran los problemas específicos de los permisos o la configuración de directivas de Windows:

  • El acceso se concede a través de grupos locales : si el usuario no pertenece a un grupo local que se usa para conceder acceso al servidor, el proveedor muestra el mensaje de error "Error de inicio de sesión para el usuario 'contoso/user1'".

    Solución: El administrador de base de datos puede comprobar esta situación examinando la carpetaInicios de sesión de seguridad> en SQL Server Management Studio (SSMS). Si la base de datos es una base de datos independiente, compruebe en databasename. Para obtener más información, consulte Error de inicio de sesión del usuario "<nombre de usuario>" o error de inicio de sesión para el usuario "<dominio>\<nombreDeUsuario>".

  • Credential Guard está habilitado : este escenario indica que la característica Credential Guard está habilitada en un sistema Windows y se usa para crear un entorno seguro para almacenar información confidencial. Sin embargo, en determinadas situaciones, esta característica puede causar problemas de autenticación.

    Solución: Para resolver este problema, pida a un administrador de dominio que configure la delegación restringida. Para obtener más información, vea Consideraciones y problemas conocidos al usar Credential Guard.

  • Errores del subsistema de seguridad local : cuando experimenta errores del subsistema de seguridad local, especialmente aquellos que están vinculados a que LSASS deja de responder, podría indicar problemas subyacentes que afectan a la autenticación.

    Solución: Para resolver estos errores, consulte Errores del subsistema de seguridad local en SQL Server.

  • No permitido el inicio de sesión de red: este escenario se produce cuando intenta iniciar sesión en una red, pero la solicitud de inicio de sesión se deniega por ciertos motivos.

    Solución: Para resolver este problema, consulte El usuario no tiene permisos para iniciar sesión en la red.

  • Solo los administradores pueden iniciar sesión : este problema se produce si el registro de seguridad de un equipo está lleno y no tiene espacio suficiente para rellenar eventos. Los administradores del sistema usan la característica de seguridad CrashOnAuditFail para comprobar todos los eventos de seguridad. Los valores válidos para CrashOnAuditFail son 0, 1 y 2. Si la clave de CrashOnAuditFail se establece en 2, esto significa que el registro de seguridad está lleno y se muestra el mensaje de error "Only Admins can login" (Solo los administradores pueden iniciar sesión).

    Solución: Para resolver este problema, siga estos pasos:

    1. Inicie el editor del Registro.
    2. Busque y compruebe la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa!crashonauditfail subclave para ver si el valor está establecido en 2. Este valor indica que el registro de seguridad requiere el borrado manual.
    3. Establezca el valor en 0 y reinicie el servidor. También puede cambiar el registro de seguridad para permitir que los eventos se reviertan. Para obtener más información sobre cómo afecta la configuración a todos los servicios como SQL, IIS, recurso compartido de archivos e inicio de sesión, vea Usuarios que no pueden acceder a sitios web cuando el registro de eventos de seguridad está lleno.

    Nota:

    Este problema afecta solo a los inicios de sesión integrados. Una conexión canalizaciones con nombre también se verá afectada en un inicio de sesión de SQL Server porque canalizaciones con nombre inicia primero sesión en la canalización de administración de Windows antes de conectarse a SQL Server.

  • La cuenta de servicio no es de confianza para la delegación : este tipo de problema suele producirse si una cuenta de servicio no tiene permiso para asignar credenciales a otros servidores. Este problema puede afectar a los servicios que requieren delegación.

    Solución: Si un escenario de delegación no está habilitado, compruebe sql server secpol.msc para determinar si la cuenta de servicio de SQL Server aparece en la configuración > de directivas de seguridad asignación de derechos de usuario de directivas > locales suplantar a un cliente después de la autenticación. Para obtener más información, consulte Habilitar confianza con el equipo y las cuentas de usuario para delegación.

  • El perfil de usuario de Windows no se puede cargar en SQL Server : hace referencia al problema del perfil de usuario de Windows.

    Solución: Para obtener más información sobre cómo solucionar problemas de perfiles de usuario dañados, consulte El perfil de usuario de Windows no se puede cargar en SQL Server.

Otros aspectos

En esta sección se enumeran los problemas relacionados con la autenticación y el control de acceso dentro de un entorno web:

  • La autenticación integrada no está habilitada : hace referencia a un problema de configuración en el que la autenticación integrada de Windows (IWA) no está configurada correctamente.

    Solución: Para resolver este problema, asegúrese de que la opción Autenticación integrada de Windows está habilitada en La configuración de Opciones de Internet .

  • No se permite la autenticación de IIS : este problema se produce debido a configuraciones incorrectas en IIS. La configuración de autenticación que se define en el archivo Web.config de la aplicación web podría entrar en conflicto con la configuración configurada en IIS. Esta situación puede provocar problemas de autenticación.

    Solución: Para resolver este problema, configure el sitio web para habilitar la autenticación de Windows y establezca el <identity impersonate="true"/> valor en el archivo Web.config .

  • Zona de Internet incorrecta : este problema puede producirse si intenta acceder a un sitio web que no está en la zona de Internet correcta en Internet Explorer. Las credenciales no funcionarán si el sitio web está en la zona intranet local.

    Solución: Agregue el servidor web a la zona de intranet local de IE.

Aviso de declinación de responsabilidades sobre la información de terceros

Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.

Más información

Recopilación de datos para solucionar problemas de conectividad de SQL Server