Problemi di autenticazione coerenti in SQL Server
Si applica a: SQL Server
Nota
I comandi forniti in questo articolo si applicano solo ai sistemi Windows.
I problemi di autenticazione coerenti che si verificano in Microsoft SQL Server sono in genere correlati all'autenticazione e all'autorizzazione di utenti o applicazioni che tentano di accedere al database di SQL Server. Questi problemi possono essere errori di autenticazione, errori di accesso negato o altri problemi correlati alla sicurezza.
La chiave per risolvere in modo efficace i problemi di autenticazione coerenti consiste nel comprendere i diversi tipi di errore e il significato di ogni messaggio di errore. Alcuni errori potrebbero essere visualizzati in più di un problema di autenticazione. È possibile usare le informazioni sulla risoluzione dei problemi indicate nella sezione Tipi di errori per risolvere l'errore.
Prerequisiti
Prima di iniziare la risoluzione dei problemi, esaminare l'elenco di controllo dei prerequisiti per preparare le informazioni seguenti:
Installare gli strumenti WireShark e Problem Steps Recorder (PSR.exe). Per altre informazioni, vedere Metodi di raccolta dei dati per la risoluzione dei vari tipi di errori.
Raccogliere le informazioni sul nome del provider di servizi (SPN) basate sugli account del servizio. A tale scopo, usare il
SETSPN -L
comando .
Tipi di errori
Questa sezione descrive i tipi di errore e le informazioni correlate.
Errori dei servizi directory: se il file di log degli errori di SQL Server contiene uno o entrambi i messaggi seguenti, questo errore è correlato ad Active Directory Domain Services (AD DS). Questo errore può verificarsi anche se Windows nel computer basato su SQL Server non è in grado di contattare il controller di dominio o se si verifica un problema nel servizio LSASS (Local Security Authority Subsystem Service).
Error -2146893039 (0x80090311): No authority could be contacted for authentication. Error -2146893052 (0x80090304): The Local Security Authority cannot be contacted.
Errori di accesso non riusciti: quando si risolve l'errore "Accesso non riuscito", il log degli errori di SQL Server fornisce informazioni dettagliate aggiuntive sul codice di errore 18456, incluso un valore di stato specifico che offre più contesto sull'errore. Per altre informazioni, vedere il file di log degli errori di SQL Server nel valore dello stato SQL. È possibile provare a risolvere il problema in base alla descrizione del valore dello stato.
Nella tabella seguente sono elencati alcuni messaggi di errore "Accesso non riuscito" specifici e le possibili cause e soluzioni.
Messaggio di errore Ulteriori informazioni "Si è verificato un errore a livello di trasporto durante l'invio della richiesta al server." Controllare se il mapping dell'account del server collegato è corretto. Per altre informazioni, vedere sp_addlinkedsrvlogin. "Impossibile generare il contesto SSPI" - L'account SPN esplicito potrebbe essere errato, mancante o smarrito.
- Controllare se l'SPN si trova nell'account errato.
"Impossibile aprire il test> del database <richiesto dall'account di accesso. L'accesso non è riuscito. Il database potrebbe essere offline o le autorizzazioni potrebbero non essere sufficienti. Per altre informazioni, vedere Database offline in MSSQLSERVER_18456.
Controllare anche se il nome del database nella stringa di connessione è corretto."Accesso non riuscito per il nome utente> dell'utente<." Questo errore può verificarsi se l'account proxy non è autenticato correttamente. "Accesso non riuscito per l'utente: 'NT AUTHORITY\ANONYMOUS LOGON'" Questo errore può verificarsi se l'SPN è mancante, SPN duplicato o se l'SPN si trova nell'account errato. "Accesso non riuscito per il nome utente> dell'utente<."
"Accesso non riuscito per l'utente '<database\nomeutente>'Controllare se una stringa di connessione contiene un nome di server non corretto. Controllare anche se l'utente appartiene a un gruppo locale usato per concedere l'accesso al server. Per altre cause, vedere NT AUTHORITY\ANONYMOUS LOGON. "Accesso non riuscito per l'utente '<username>'. Motivo: la password non corrisponde a quella dell'account di accesso specificato." Questo errore può verificarsi se viene usata una password non corretta. Per altre informazioni, vedere Accesso non riuscito per l'utente '<username>' o login failed for user '<domain><username>'. "SQL Server non esiste o l'accesso è negato". Le connessioni Named Pipes hanno esito negativo perché l'utente non dispone dell'autorizzazione per accedere a Windows. "L'account di accesso proviene da un dominio non attendibile e non può essere usato con l'autenticazione di Windows." Questo errore potrebbe essere correlato ai problemi del sottosistema di sicurezza locale . "L'account utente non è consentito per il tipo di accesso di rete." Potrebbe non essere possibile accedere alla rete.
Tipi di problemi di autenticazione coerenti
Questa sezione descrive le cause tipiche di problemi di autenticazione coerenti insieme alle rispettive soluzioni. Selezionare il tipo di problema per visualizzare i problemi, le cause e le soluzioni pertinenti.
Stringa di connessione
Questa sezione elenca i problemi relativi alle impostazioni di configurazione usate dalle applicazioni per connettersi a un database.
SPN esplicito mancante : questo problema si verifica se l'SPN non è configurato o registrato correttamente.
Soluzione: Per risolvere questo problema, vedere l'errore "Impossibile generare il contesto SSPI" quando si usa l'autenticazione di Windows per connettere SQL Server.
SPN smarrito esplicito : si riferisce a un nome SPN associato in modo non corretto a un determinato servizio o account.
Soluzione: Per risolvere questo problema, vedere SPN smarrito esplicito.
SPN esplicito duplicato : questo problema si verifica se un NOME SPN è duplicato perché è registrato più di una volta.
Soluzione: Per risolvere questo problema, vedere l'errore "Impossibile generare il contesto SSPI" quando si usa l'autenticazione di Windows per connettere SQL Server.
Nome del server non corretto nella stringa di connessione : questo problema si verifica se il nome del server specificato non è corretto o non è stato trovato.
Soluzione: Per risolvere il problema, vedere MSSQLSERVER_18456.
Nome del database errato nella stringa di connessione : questo problema si verifica se il nome del database specificato per l'autenticazione non è corretto.
Soluzione: Controllare se il nome è digitato correttamente. Per altre informazioni, vedere MSSQLSERVER_4064.
Account SPN esplicito errato : questo problema potrebbe verificarsi se il nome SPN è associato all'account errato in Servizi di dominio Active Directory.
Soluzione: Per risolvere questo problema, vedere Impossibile generare un errore di contesto SSPI.
Database
In questa sezione vengono elencati i problemi specifici di diversi aspetti di SQL Server:
Database offline : si riferisce a uno scenario in cui un database di SQL Server tenta di riconnettersi a un'istanza di SQL Server configurata per la modalità di autenticazione di Windows.
Soluzione: Per altre informazioni, vedere MSSQLSERVER_18456.
Autorizzazioni del database : si riferisce all'abilitazione o alla limitazione dell'accesso a un database di SQL Server.
Soluzione: Per altre informazioni, vedere MSSQLSERVER_18456.
Errori di connettività del server collegato in SQL Server : si verifica un problema di processo di autenticazione che interessa i server collegati nel contesto di SQL Server.
Soluzione: Per risolvere questo problema, vedere Errori di connettività del server collegato in SQL Server.
I metadati del server collegato non sono coerenti : fa riferimento a un problema in cui i metadati del server collegato non sono coerenti o non corrispondono ai metadati previsti.
Una vista o una stored procedure esegue una query sulle tabelle o sulle viste nel server collegato, ma riceve errori di accesso anche se un'istruzione distribuita
SELECT
copiata dalla procedura non lo fa.Questo problema può verificarsi se la vista è stata creata e il server collegato è stato ricreato o se è stata modificata una tabella remota senza ricompilare la visualizzazione.
Soluzione: aggiornare i metadati del server collegato eseguendo la
sp_refreshview
stored procedure.L'account proxy non dispone di autorizzazioni : un processo di SQL Server Integration Service (SSIS) eseguito da SQL Agent potrebbe richiedere autorizzazioni diverse da quelle che l'account del servizio SQL Agent può fornire.
Soluzione: Per risolvere questo problema, vedere Il pacchetto SSIS non viene eseguito quando viene chiamato da un passaggio del processo di SQL Server Agent.
Impossibile accedere al database di SQL Server : l'impossibilità di accedere può causare errori nell'autenticazione.
Soluzione: Per risolvere il problema, vedere MSSQLSERVER_18456.
Servizi directory
Questa sezione elenca i problemi relativi ai servizi directory e ai server.
Un account è disabilitato : questo scenario potrebbe verificarsi se l'account utente è stato disabilitato da un amministratore o da un utente. In questo caso, non è possibile accedere usando questo account o non è possibile usare questo account per avviare un servizio. Ciò potrebbe causare problemi di autenticazione coerenti perché può impedire l'accesso alle risorse o l'esecuzione di azioni che richiedono l'autenticazione.
Soluzione: Un amministratore di dominio può risolvere questo problema riabilitare l'account. Quando un account è disabilitato, in genere è dovuto al fatto che un utente ha tentato di accedere con la password errata troppe volte o perché un'applicazione o un servizio sta provando a usare una password precedente.
Un account non è incluso nel gruppo . Questo problema può verificarsi se un utente tenta di accedere a una risorsa limitata a un gruppo specifico.
Soluzione: Controllare gli account di accesso SQL per enumerare i gruppi consentiti e assicurarsi che l'utente appartenga a uno dei gruppi.
Migrazione dell'account non riuscita : se gli account utente precedenti non possono connettersi al server, ma gli account appena creati possono non essere corretti. Questo problema è correlato ad Active Directory Domain Services.
Soluzione: Per altre informazioni, vedere Trasferire account di accesso e password tra istanze di SQL Server.
Controller di dominio offline : si riferisce a un problema per cui il controller di dominio non è accessibile.
Soluzione: Usare il
nltest
comando per forzare il computer a passare a un altro controller di dominio. Per altre informazioni, vedere L'ID evento di replica di Active Directory 2087: errore di ricerca DNS ha causato l'esito negativo della replica.Firewall blocca il controller di dominio : potrebbero verificarsi problemi quando si gestisce l'accesso dell'utente alle risorse.
Soluzione: Assicurarsi che il controller di dominio sia accessibile dal client o dal server. A tale scopo, usare il
nltest /SC_QUERY:CONTOSO
comando .L'accesso proviene da un dominio non attendibile . Questo problema è correlato al livello di attendibilità tra domini. Potrebbe essere visualizzato il messaggio di errore seguente: "Accesso non riuscito. L'account di accesso proviene da un dominio non attendibile e non può essere usato con l'autenticazione di Windows. (18452)."
L'errore 18452 indica che l'account di accesso usa l'autenticazione di Windows, ma l'account di accesso è un'entità di Windows non riconosciuta. Un'entità di Windows non riconosciuta indica che l'account di accesso non può essere verificato da Windows. Questo problema può verificarsi perché l'account di accesso di Windows proviene da un dominio non attendibile. Il livello di attendibilità tra domini potrebbe causare errori nell'autenticazione dell'account o nella visibilità dei nomi del provider di servizi (SPN).
Soluzione: Per risolvere il problema, vedere MSSQLSERVER_18452.
Nessuna autorizzazione per i gruppi tra domini: gli utenti del dominio remoto devono appartenere a un gruppo nel dominio di SQL Server. Potrebbe verificarsi un problema se si tenta di usare un gruppo locale di dominio per connettersi a un'istanza di SQL Server da un altro dominio.
Soluzione: Se i domini non dispongono dell'attendibilità appropriata, l'aggiunta degli utenti in un gruppo nel dominio remoto potrebbe impedire al server di enumerare l'appartenenza al gruppo.
L'autenticazione selettiva è disabilitata : fa riferimento a una funzionalità di trust di dominio che consente all'amministratore di dominio di limitare gli utenti che hanno accesso alle risorse nel dominio remoto. Se l'autenticazione selettiva non è abilitata, tutti gli utenti del dominio attendibile possono ottenere l'accesso al dominio remoto.
Soluzione: Per risolvere questo problema, abilitare l'autenticazione selettiva per assicurarsi che gli utenti non siano autorizzati a eseguire l'autenticazione nel dominio remoto.
Autenticazione Kerberos
Questa sezione elenca i problemi correlati all'autenticazione Kerberos:
Viene aggiunto un suffisso DNS non corretto al nome NetBIOS . Questo problema può verificarsi se si usa solo il nome NetBIOS (ad esempio, SQLPROD01) anziché il nome di dominio completo (FQDN) (ad esempio, SQLPROD01.CONTOSO.COM). In questo caso, potrebbe essere aggiunto il suffisso DNS errato.
Soluzione: Controllare le impostazioni di rete per i suffissi predefiniti per assicurarsi che siano corretti o usare il nome di dominio completo per evitare problemi.
L'asimmetria dell'orologio è troppo elevata . Questo problema potrebbe verificarsi se più dispositivi in una rete non sono sincronizzati. Per il funzionamento dell'autenticazione Kerberos, gli orologi tra dispositivi non possono essere disattivati per più di cinque minuti o potrebbero verificarsi errori di autenticazione coerenti.
Soluzione: Configurare i computer per sincronizzare regolarmente gli orologi con un servizio ora centrale.
Delega di account sensibili ad altri servizi : alcuni account potrebbero essere contrassegnati come
Sensitive
in Servizi di dominio Active Directory. Questi account non possono essere delegati a un altro servizio in uno scenario a doppio hop. Gli account sensibili sono fondamentali per garantire la sicurezza, ma possono influire sull'autenticazione.Soluzione: Per risolvere questo problema, vedere Accesso non riuscito per l'utente NT AUTHORITY\ANONYMOUS LOGON.
Delega a una condivisione file : si riferisce a una situazione in cui un utente o un'applicazione delega le credenziali per accedere a una condivisione file. Senza vincoli appropriati, la delega delle credenziali a una condivisione file potrebbe creare rischi per la sicurezza.
Soluzione: Per risolvere questo tipo di problema, assicurarsi di usare la delega vincolata.
Spazio dei nomi DNS non contiguo : fa riferimento a un problema di autenticazione coerente che potrebbe verificarsi se il suffisso DNS non corrisponde tra il membro di dominio e DNS. È possibile che si verifichino problemi di autenticazione se si usa uno spazio dei nomi non contiguo. Se la gerarchia organizzativa in Servizi di dominio Active Directory e in DNS non corrisponde, è possibile che venga generato il nome SPN errato se si usa il nome NETBIOS nella stringa di connessione dell'applicazione di database. In questo caso, il nome SPN non viene trovato e vengono usate le credenziali NTLM (New Technology LAN Manager) anziché le credenziali Kerberos.
Soluzione: Per attenuare il problema, usare il nome di dominio completo del server o specificare il nome SPN nella stringa di connessione. Per informazioni sul nome di dominio completo, vedere Denominazione computer.
SPN duplicato : si riferisce a una situazione in cui due o più nomi SPN sono identici all'interno di un dominio. I nomi SPN vengono usati per identificare in modo univoco i servizi in esecuzione nei server in un dominio Windows. I nomi SPN duplicati possono causare problemi di autenticazione.
Soluzione: Per risolvere questo problema, vedere Correggere l'errore con Gestione configurazione Kerberos (scelta consigliata).
Abilitare le porte HTTP nei nomi SPN : in genere, i nomi SPN HTTP non usano numeri di porta (ad esempio,
http/web01.contoso.com
).Soluzione: Per risolvere questo problema, è possibile abilitarlo usando i criteri nei client. Il nome SPN deve quindi essere nel formato per consentire il
http/web01.contoso.com:88
corretto funzionamento di Kerberos. In caso contrario, vengono usate le credenziali NTLM.Le credenziali NTLM non sono consigliate perché potrebbero rendere difficile diagnosticare il problema. Inoltre, questa situazione potrebbe generare un sovraccarico amministrativo eccessivo.
Ticket scaduti : si riferisce ai ticket Kerberos. L'uso di ticket Kerberos scaduti può causare problemi di autenticazione.
Soluzione: Per risolvere questo problema, vedere Ticket scaduti.
Il file HOSTS non è corretto : il file HOSTS può interrompere le ricerche DNS e generare un nome SPN imprevisto. Questa situazione causa l'uso delle credenziali NTLM. Se nel file HOSTS è presente un indirizzo IP imprevisto, il nome SPN generato potrebbe non corrispondere al server back-end a cui punta.
Soluzione: Esaminare il file HOSTS e rimuovere le voci per il server. Le voci del file HOSTS vengono visualizzate nel report SQLCHECK.
Problema con le autorizzazioni sid (Security Identifier) per servizio : per servizio-SID è una funzionalità di sicurezza di SQL Server che limita le connessioni locali all'uso di NTLM e non Kerberos come metodo di autenticazione. Il servizio può eseguire un singolo hop in un altro server usando le credenziali NTLM, ma non può essere delegato ulteriormente senza usare la delega vincolata. Per altre informazioni, vedere Accesso non riuscito per l'utente NT AUTHORITY\ANONYMOUS LOGON.
Soluzione: Per risolvere questo problema, l'amministratore di dominio deve configurare la delega vincolata.
Autenticazione in modalità kernel : il nome SPN nell'account del pool di app è in genere necessario per i server Web. Tuttavia, quando si usa l'autenticazione in modalità kernel, il nome SPN HOST del computer viene usato per l'autenticazione. Questa azione viene eseguita nel kernel. Questa impostazione può essere usata se il server ospita molti siti Web diversi che usano lo stesso URL dell'intestazione host, account del pool di app diversi e autenticazione di Windows.
Soluzione: Rimuovere i nomi SPN HTTP se l'autenticazione in modalità kernel è abilitata.
Limitare i diritti di delega a Access o Excel : i provider Joint Engine Technology (JET) e Access Connectivity Engine (ACE) sono simili a qualsiasi file system. È necessario usare la delega vincolata per consentire a SQL Server di leggere i file che si trovano in un altro computer. In generale, il provider ACE non deve essere usato in un server collegato perché non è supportato in modo esplicito. Il provider JET è deprecato ed è disponibile solo nei computer a 32 bit.
Nota
Quando SQL Server 2014, l'ultima versione che supporta le installazioni a 32 bit, non è più supportato, lo scenario JET non sarà più supportato.
SPN mancante : questo problema può verificarsi se un SPN correlato a un'istanza di SQL Sever è assente.
Soluzione: Per altre informazioni, vedere Correggere l'errore con Gestione configurazione Kerberos (scelta consigliata).
Non è una destinazione vincolata : se la delega vincolata è abilitata per un determinato account del servizio, Kerberos avrà esito negativo se il nome SPN del server di destinazione non è incluso nell'elenco delle destinazioni di delega vincolata.
Soluzione: Per risolvere questo problema, un amministratore di dominio deve aggiungere il nome SPN del server di destinazione ai nomi SPN di destinazione dell'account del servizio di livello intermedio.
NTLM e delega vincolata : se la destinazione è una condivisione file, il tipo di delega dell'account del servizio di livello intermedio deve essere Constrained-Any e non Constrained-Kerberos. Se il tipo di delega è impostato su Constrained-Kerberos, l'account di livello intermedio può allocare solo a servizi specifici, ma Constrained-Any consente all'account del servizio di delegare a qualsiasi servizio.
Soluzione: Per risolvere questo problema, vedere Accesso non riuscito per l'utente NT AUTHORITY\ANONYMOUS LOGON.
L'account del servizio non può essere considerato attendibile per la delega in Active Directory . In uno scenario a doppio hop, l'account del servizio di livello intermedio deve essere considerato attendibile per la delega in Active Directory Domain Services. Se l'account del servizio non è attendibile per la delega, l'autenticazione Kerberos può non riuscire.
Soluzione: Se si è un amministratore, abilitare l'opzione Attendibile per la delega .
Alcuni provider legacy non supportano Kerberos tramite named pipe : il provider OLE DB legacy (SQLOLEDB) e il provider ODBC (SQL Server) in bundle con Windows non offrono il supporto per l'autenticazione Kerberos tramite named pipe. Supportano invece solo l'autenticazione NTLM.
Soluzione: Usare una connessione TCP per consentire l'autenticazione Kerberos. È anche possibile usare un driver più recente, ad esempio MSOLEDBSQL o ODBC Driver 17. Ma TCP è ancora preferito rispetto a Named Pipes, indipendentemente dalla versione del driver.
SPN è associato a un account errato : questo problema potrebbe verificarsi se un nome SPN è associato all'account errato in Active Directory Domain Services. Per altre informazioni, vedere Correggere l'errore con Gestione configurazione Kerberos (scelta consigliata).
È possibile che venga visualizzato un messaggio di errore se l'SPN è configurato nell'account errato in Active Directory Domain Services.
Soluzione: Per risolvere l'errore, seguire questa procedura:
- Usare
SETSPN -Q spnName
per individuare l'SPN e il relativo account corrente. - Usare
SETSPN -D
per eliminare i nomi SPN esistenti. -
SETSPN -S
Usare per eseguire la migrazione del nome SPN all'account corretto.
- Usare
L'alias SQL potrebbe non funzionare correttamente . Un alias di SQL Server potrebbe causare la generazione di un nome SPN imprevisto. In questo modo le credenziali NTLM hanno esito negativo se il nome SPN non viene trovato o se si verifica un errore SSPI se corrisponde inavvertitamente al nome SPN di un altro server.
Soluzione: Gli alias SQL vengono visualizzati nel report SQLCHECK. Per risolvere il problema, identificare e correggere eventuali alias SQL non corretti o non configurati correttamente in modo che puntino a SQL Server corretto.
L'utente appartiene a molti gruppi : se un utente appartiene a più gruppi, potrebbero verificarsi problemi di autenticazione in Kerberos. Se si usa Kerberos tramite UDP, l'intero token di sicurezza deve rientrare in un singolo pacchetto. Gli utenti che appartengono a molti gruppi hanno un token di sicurezza più grande rispetto agli utenti che appartengono a un minor numero di gruppi.
Soluzione: Se si usa Kerberos su TCP, è possibile aumentare l'impostazione [
MaxTokenSize
]. Per altre informazioni, vedere MaxTokenSize e Kerberos Token Bloat.Usare l'intestazione host del sito Web : l'intestazione host HTTP svolge un ruolo molto importante nel protocollo HTTP per l'accesso alle pagine Web.
Soluzione: Se il sito Web ha un nome di intestazione host, non è possibile usare il nome SPN HOSTS. È necessario usare un nome SPN HTTP esplicito. Se il sito Web non ha un nome di intestazione host, viene usato NTLM. NTLM non può essere delegato a un'istanza di SQL Server back-end o a un altro servizio.
NT LAN Manager (NTLM)
Questa sezione elenca i problemi specifici di NTLM (NT LAN Manager):
Accesso negato per gli account di accesso peer NTLM : fa riferimento a un problema correlato agli account di accesso peer NTLM.
Soluzione: Quando si comunicano tra computer che si trovano in workstation o domini che non si considerano attendibili, è possibile configurare account identici in entrambi i computer e usare l'autenticazione peer NTLM.
Gli account di accesso funzionano solo se l'account utente e la password corrispondono in entrambi i computer. L'autenticazione NTLM potrebbe essere disabilitata o non supportata sul lato client o server. Questa situazione potrebbe causare errori di autenticazione. Per altre informazioni, vedere MSSQLSERVER_18456.
Scenari a doppio hop in più computer : un processo a doppio hop avrà esito negativo se vengono usate credenziali NTLM. Le credenziali Kerberos sono necessarie.
Soluzione: Per risolvere questo problema, vedere Accesso non riuscito per l'utente NT AUTHORITY\ANONYMOUS LOGON.
La protezione loopback non è impostata correttamente . La protezione loopback è progettata per impedire alle applicazioni di chiamare altri servizi nello stesso computer. Se la protezione del loopback non è configurata correttamente o se si verifica un malfunzionamento, questa situazione può causare indirettamente problemi di autenticazione.
Soluzione: Per risolvere il problema, vedere MSSQLSERVER_18456.
La protezione del loopback ha esito negativo quando ci si connette al listener Always-on . Questo problema è correlato alla protezione del loopback. Quando ci si connette al listener Always-On dal nodo primario, la connessione usa l'autenticazione NTLM.
Soluzione: Per altre informazioni, vedere MSSQLSERVER_18456.
Problema che interessa il livello di compatibilità LANMAN : il problema di autenticazione LAN Manager (LANMAN) si verifica in genere se nei protocolli di autenticazione usati dai computer meno recenti (precedenti a Windows Server 2008) e dai computer più recenti esiste una mancata corrispondenza. Quando si imposta il livello di compatibilità su 5, NTLMv2 non è consentito.
Soluzione: Il passaggio a Kerberos evita questo problema perché Kerberos è più sicuro. Per altre informazioni, vedere Accesso non riuscito per l'utente NT AUTHORITY\ANONYMOUS LOGON.
Account di accesso SQL
Questa sezione elenca i problemi relativi alle credenziali di autenticazione:
Password non valida : si riferisce a un problema correlato all'accesso.
Soluzione: Per risolvere il problema, vedere MSSQLSERVER_18456.
Username non valido : fa riferimento a un problema correlato all'accesso.
Soluzione: Per risolvere il problema, vedere MSSQLSERVER_18456.
Gli account di accesso di SQL Server non sono abilitati : fa riferimento a uno scenario in cui si tenta di connettersi a un'istanza di Microsoft SQL Server usando l'autenticazione di SQL Server, ma l'account di accesso associato all'account è disabilitato.
Soluzione: Per risolvere il problema, vedere MSSQLSERVER_18456.
Le connessioni Named Pipes hanno esito negativo perché l'utente non dispone dell'autorizzazione per accedere a Windows . Si riferisce a un problema di autorizzazioni in Windows.
Soluzione: Per risolvere questo problema, vedere Problema delle connessioni named pipe in SQL Server.
Autorizzazioni di Windows
Questa sezione elenca i problemi specifici delle autorizzazioni o delle impostazioni dei criteri di Windows:
L'accesso viene concesso tramite gruppi locali : se l'utente non appartiene a un gruppo locale usato per concedere l'accesso al server, il provider visualizza il messaggio di errore "Accesso non riuscito per l'utente 'contoso/user1'".
Soluzione: L'amministratore del database può verificare questa situazione esaminando la cartellaAccount di accesso di sicurezza> in SQL Server Management Studio (SSMS). Se il database è un database indipendente, controllare in
databasename
. Per altre informazioni, vedere Accesso non riuscito per l'utente '<nomeutente>' o accesso non riuscito per l'utente '<dominio>\<nomeutente>'.Credential guard è abilitato : questo scenario indica che la funzionalità Credential Guard è abilitata in un sistema Windows e viene usata per creare un ambiente sicuro per archiviare informazioni riservate. Tuttavia, in determinate situazioni, questa funzionalità potrebbe causare problemi di autenticazione.
Soluzione: Per risolvere questo problema, chiedere a un amministratore di dominio di configurare la delega vincolata. Per altre informazioni, vedere Considerazioni e problemi noti quando si usa Credential Guard.
Errori del sottosistema di sicurezza locale : quando si verificano errori del sottosistema di sicurezza locale, in particolare quelli collegati a LSASS che non rispondono, potrebbero indicare problemi sottostanti che influiscono sull'autenticazione.
Soluzione: Per risolvere questi errori, vedere Errori del sottosistema di sicurezza locale in SQL Server.
Accesso di rete non consentito : questo scenario si verifica quando si tenta di accedere a una rete, ma la richiesta di accesso viene negata per determinati motivi.
Soluzione: Per risolvere questo problema, vedere L'utente non dispone delle autorizzazioni per accedere alla rete.
Solo gli amministratori possono accedere : questo problema si verifica se il log di sicurezza in un computer è pieno e non ha spazio sufficiente per riempire gli eventi. La funzionalità di sicurezza CrashOnAuditFail viene usata dagli amministratori di sistema per controllare tutti gli eventi di sicurezza. I valori validi per
CrashOnAuditFail
sono 0, 1 e 2. Se la chiave perCrashOnAuditFail
è impostata su 2, significa che il log di sicurezza è pieno e viene visualizzato il messaggio di errore "Solo gli amministratori possono accedere".Soluzione: Per risolvere il problema, seguire questa procedura:
- Avviare l'editor del Registro di sistema.
- Individuare e controllare la
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa!crashonauditfail
sottochiave per verificare se il valore è impostato su 2. Questo valore indica che il log di sicurezza richiede la cancellazione manuale. - Impostare il valore su 0 e quindi riavviare il server. È anche possibile modificare il log di sicurezza per consentire il rollover degli eventi. Per altre informazioni su come l'impostazione influisce su tutti i servizi, ad esempio SQL, IIS, condivisione file e accesso, vedere Gli utenti non possono accedere ai siti Web quando il registro eventi di sicurezza è pieno.
Nota
Questo problema interessa solo gli account di accesso integrati. Una connessione Named Pipes sarà interessata anche in un account di accesso di SQL Server perché Named Pipes accede per la prima volta a Windows Admin Pipe prima di connettersi a SQL Server.
L'account del servizio non è attendibile per la delega . Questo tipo di problema si verifica in genere se a un account del servizio non è consentito assegnare le credenziali ad altri server. Questo problema può influire sui servizi che richiedono la delega.
Soluzione: Se uno scenario di delega non è abilitato, controllare sql server secpol.msc per determinare se l'account del servizio SQL Server è elencato nelle impostazioni criteri > locali Assegnazione > diritti utente rappresenta un client dopo l'autenticazione dei criteri di sicurezza. Per maggiori informazioni, consultare Abilitare gli account computer e utente come attendibili per la delega.
Il profilo utente di Windows non può essere caricato in SQL Server : fa riferimento al problema del profilo utente di Windows.
Soluzione: Per altre informazioni su come risolvere i problemi relativi ai profili utente danneggiati, vedere Impossibile caricare il profilo utente di Windows in SQL Server.
Altri aspetti
Questa sezione elenca i problemi correlati all'autenticazione e al controllo di accesso all'interno di un ambiente Web:
L'autenticazione integrata non è abilitata : fa riferimento a un problema di configurazione in cui l'autenticazione integrata di Windows (IWA) non è configurata correttamente.
Soluzione: Per risolvere questo problema, verificare che l'opzione Autenticazione integrata di Windows sia abilitata nelle impostazioni di Opzioni Internet .
Autenticazione IIS non consentita : questo problema si verifica a causa di configurazioni errate in IIS. Le impostazioni di autenticazione definite nel file Web.config dell'applicazione Web potrebbero essere in conflitto con le impostazioni configurate in IIS. Questa situazione può causare problemi di autenticazione.
Soluzione: Per risolvere questo problema, configurare il sito Web per abilitare l'autenticazione di Windows e impostare il
<identity impersonate="true"/>
valore nel file Web.config .Area Internet errata : questo problema potrebbe verificarsi se si tenta di accedere a un sito Web non presente nell'area Internet corretta in Internet Explorer. Le credenziali non funzionano se il sito Web si trova nell'area Intranet locale.
Soluzione: Aggiungere il server Web all'area Intranet locale di Internet Explorer.
Dichiarazione di non responsabilità sulle informazioni di terze parti
I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti
Ulteriori informazioni
Raccogliere dati per risolvere i problemi di connettività di SQL Server