Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunlar için geçerlidir: SQL Server
Not
Bu makalede sağlanan komutlar yalnızca Windows sistemleri için geçerlidir.
Microsoft SQL Server'da oluşan tutarlı kimlik doğrulama sorunları genellikle SQL Server veritabanına erişmeye çalışan kullanıcıların veya uygulamaların kimlik doğrulaması ve yetkilendirmesi ile ilgilidir. Bu sorunlar kimlik doğrulama hataları, erişim reddedildi hataları veya güvenlikle ilgili diğer sorunlar olabilir.
Tutarlı kimlik doğrulama sorunlarını etkili bir şekilde çözmenin anahtarı, farklı hata türlerini ve her hata iletisinin ne anlama geldiğini anlamaktır. Bazı hatalar birden fazla kimlik doğrulama sorunuyla karşınıza çıkabilir. Hatayı çözmek için Hata türleri bölümünde belirtilen sorun giderme bilgilerini kullanabilirsiniz.
Önkoşullar
Sorun gidermeye başlamadan önce aşağıdaki bilgilerin hazır olması için önkoşullar denetim listesini inceleyin:
WireShark ve Sorun Adımları Kaydedicisi (PSR.exe) araçlarını yükleyin. Daha fazla bilgi için bkz . Çeşitli hata türlerini gidermek için veri toplama yöntemleri.
Hizmet hesaplarını temel alan Hizmet Sağlayıcısı Adı (SPN) bilgilerini toplayın. Bunu yapmak için komutunu kullanın
SETSPN -L.
Hata türleri
Bu bölümde hata türleri ve ilgili bilgiler açıklanmaktadır.
Dizin hizmetleri hataları: SQL Server hata günlüğü dosyası aşağıdaki iletilerden birini veya ikisini birden içeriyorsa, bu hata Active Directory Etki Alanı Hizmetleri (AD DS) ile ilgilidir. Bu hata, SQL Server tabanlı bilgisayardaki Windows Etki Alanı Denetleyicisi (DC) ile iletişim kuramazsa veya Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) bir sorunla karşılaşırsa da oluşabilir.
Error -2146893039 (0x80090311): No authority could be contacted for authentication. Error -2146893052 (0x80090304): The Local Security Authority cannot be contacted.Oturum açma başarısız hataları: "Oturum Açma Başarısız Oldu" hatasını giderdiğinizde, SQL Server hata günlüğü hata hakkında daha fazla bağlam sunan belirli bir durum değeri de dahil olmak üzere 18456 hata koduyla ilgili ek içgörüler sağlar. Daha fazla bilgi için SQL Server hata günlüğü dosyasına SQL durum değeri'nden bakınız. Sorunu durum değerinin açıklamasına göre düzeltmeyi deneyebilirsiniz.
Aşağıdaki tabloda bazı "Oturum Açma Başarısız Oldu" hata iletileri ve bunların olası nedenleri ve çözümleri listelenmektedir.
Hata İletisi Daha Fazla Bilgi "İstek sunucuya gönderilirken aktarım düzeyi hatası oluştu." Bağlı sunucu hesabı eşlemesinin doğru olup olmadığını denetleyin. Daha fazla bilgi için bkz . sp_addlinkedsrvlogin. "SSPI bağlamı oluşturulamıyor" - Açık SPN hesabı yanlış, eksik veya yanlış yerleştirilmiş olabilir.
- SPN'nin yanlış hesapta olup olmadığını denetleyin.
"Oturum açma tarafından istenen veritabanı <testi> açılamıyor. Oturum açılamadı" hatasını düzeltmek için bu adımları izleyin. Veritabanı çevrimdışı olabilir veya izinler yeterli olmayabilir. Daha fazla bilgi için MSSQLSERVER_18456'da Database offline konusuna bakın.
Ayrıca, bağlantı dizesi veritabanı adının doğru olup olmadığını denetleyin."Kullanıcı <kullanıcı adı> için oturum açılamadı." Ara sunucu hesabının kimliği doğrulanmamışsa bu hata oluşabilir. "Kullanıcı için Oturum Açma Başarısız Oldu: 'NT AUTHORITY\ANONYMOUS LOGON'" SPN eksikse, SPN yineleniyorsa veya SPN yanlış hesaptaysa bu hata oluşabilir. "Kullanıcı <kullanıcı adı> için oturum açılamadı."
"'<database\username>' kullanıcısı için oturum açılamadı"bir bağlantı dizesi yanlış sunucu adı içerip içermediğini denetleyin. Ayrıca, kullanıcının sunucuya erişim vermek için kullanılan yerel bir gruba ait olup olmadığını denetleyin. Diğer nedenler için NT AUTHORITY\ANONYMOUS LOGON bölümüne bakın. Kullanıcı '<username>' için oturum açma başarısız oldu. Neden: Parola, sağlanan oturum açma bilgileriyle eşleşmiyor." Yanlış parola kullanılırsa bu hata oluşabilir. Daha fazla bilgi için bkz. '<kullanıcı adı>' kullanıcısı için oturum açma başarısız oldu veya '<etki alanı><kullanıcı adı>' kullanıcısı için oturum açma başarısız oldu. "SQL Server yok veya erişim reddedildi." Kullanıcının Windows'ta oturum açma izni olmadığından Adlandırılmış Kanallar bağlantıları başarısız olur. "Oturum açma bilgileri güvenilmeyen bir etki alanından geliyor ve Windows kimlik doğrulamasıyla kullanılamaz." Bu hata Yerel Güvenlik Alt Sistemi sorunlarıyla ilgili olabilir. "Kullanıcı hesabına Ağ Oturum Açma türüne izin verilmiyor." Ağda oturum açamayabilirsiniz.
Tutarlı kimlik doğrulama sorunlarının türleri
Bu bölümde, tutarlı kimlik doğrulama sorunlarının ilgili çözümleriyle birlikte tipik nedenleri açıklanmaktadır. İlgili sorunları, nedenleri ve çözümleri görmek için sorun türünü seçin.
Bağlantı dizesi
Bu bölümde, bir veritabanına bağlanmak için uygulamalar tarafından kullanılan yapılandırma ayarlarıyla ilgili sorunlar listelenir.
Açık SPN eksik - SpN doğru yapılandırılmadıysa veya kaydedilmediyse bu sorun oluşur.
Çözüm: Bu sorunu çözmek için bkz . SQL Server'a bağlanmak için Windows kimlik doğrulaması kullanılırken "SSPI bağlamı oluşturulamıyor" hatası.
Hatalı yerleştirilmiş SPN - Belirli bir hizmet veya hesapla yanlış şekilde ilişkilendirilmiş bir SPN'yi ifade eder.
Çözüm: Bu sorunu çözmek için bkz Açıkça yanlış yerleştirilmiş SPN.
Açıkça Belirtilmiş SPN çoğaltıldı - Bu sorun, bir SPN birden fazla kez kaydedildiğinde ortaya çıkar.
Çözüm: Bu sorunu çözmek için bkz . SQL Server'a bağlanmak için Windows kimlik doğrulaması kullanılırken "SSPI bağlamı oluşturulamıyor" hatası.
bağlantı dizesi yanlış sunucu adı - Belirtilen sunucu adı yanlışsa veya bulunamıyorsa bu sorun oluşur.
Çözüm: Bu sorunu çözmek için bkz . MSSQLSERVER_18456.
bağlantı dizesi yanlış veritabanı adı - Kimlik doğrulaması için sağlanan veritabanı adı yanlışsa bu sorun oluşur.
Çözüm: Adın doğru yazılıp yazılmadığını denetleyin. Daha fazla bilgi için bkz . MSSQLSERVER_4064.
Yanlış açık SPN hesabı - SPN, AD DS'deki yanlış hesapla ilişkiliyse bu sorun oluşabilir.
Çözüm: Bu sorunu çözmek için bkz . SSPI bağlam hatası oluşturulamıyor.
Veritabanı
Bu bölümde, SQL Server'ın çeşitli yönlerine özgü sorunlar listelenir:
Veritabanı çevrimdışı - SQL Server veritabanının Windows Kimlik Doğrulama modu için yapılandırılmış bir SQL Server örneğine yeniden bağlanmaya çalıştığı bir senaryoya başvurur.
Çözüm: Daha fazla bilgi için bkz . MSSQLSERVER_18456.
Veritabanı izinleri - SQL Server veritabanına erişimi etkinleştirmeyi veya kısıtlamayı ifade eder.
Çözüm: Daha fazla bilgi için bkz . MSSQLSERVER_18456.
SQL Server'da bağlı sunucu bağlantı hataları - SQL Server bağlamında bağlı sunucuları etkileyen bir kimlik doğrulama işlemi sorunuyla karşılaşırsınız.
Çözüm: Bu sorunu çözmek için bkz . SQL Server'da bağlı sunucu bağlantı hataları.
Bağlı sunucunun meta verileri tutarsız - Bağlı sunucunun meta verilerinin tutarsız olduğu veya beklenen meta verilerle eşleşmediği bir sorunu ifade eder.
Görünüm veya saklı yordam, bağlı sunucudaki tabloları veya görünümleri sorguladığında oturum açma hataları alır, ancak yordama kopyalanmış dağıtılmış
SELECTdeyimi bu tür hatalarla karşılaşmaz.Görünüm oluşturulduysa ve sonra bağlı sunucu yeniden oluşturulduysa veya görünüm yeniden oluşturulmadan uzak bir tablo değiştirildiğinde bu sorun oluşabilir.
Çözüm: Saklı yordamı çalıştırarak bağlı sunucunun
sp_refreshviewmeta verilerini yenileyin.Proxy hesabının izinleri yok - SQL Aracısı tarafından çalıştırılan bir SQL Server Tümleştirme Hizmeti (SSIS) işi, SQL Aracısı hizmet hesabının sağlayabilecekleri izinler dışında izinler gerektirebilir.
Çözüm: Bu sorunu çözmek için bkz . SQL Server Aracısı iş adımından çağrıldığında SSIS paketi çalışmıyor.
SQL Server veritabanında oturum açılamıyor - Oturum açamama, kimlik doğrulamasında hatalara neden olabilir.
Çözüm: Bu sorunu çözmek için bkz . MSSQLSERVER_18456.
Dizin hizmetleri
Bu bölümde, dizin hizmetleri ve sunucularla ilgili sorunlar listelenir.
Hesap devre dışı bırakıldı - Kullanıcı hesabı bir yönetici veya kullanıcı tarafından devre dışı bırakıldıysa bu senaryoyla karşılaşabilirsiniz. Bu durumda, bu hesabı kullanarak oturum açamaz veya hizmeti başlatmak için bu hesabı kullanamazsınız. Bu, kaynaklara erişmenizi veya kimlik doğrulaması gerektiren eylemler gerçekleştirmenizi engelleyebileceği için tutarlı kimlik doğrulaması sorunlarına neden olabilir.
Çözüm: Etki alanı yöneticisi hesabı yeniden etkinleştirerek bunu düzeltebilir. Bir hesap devre dışı bırakıldığında, bunun nedeni genellikle bir kullanıcının çok fazla yanlış parolayla oturum açmaya çalışması veya bir uygulama veya hizmetin eski parolayı kullanmaya çalışmasıdır.
Bir hesap grupta değil - Kullanıcı belirli bir grupla sınırlı bir kaynağa erişmeye çalışıyorsa bu sorun oluşabilir.
Çözüm: İzin verilen grupları listelemek için SQL oturum açma bilgilerini denetleyin ve kullanıcının gruplardan birine ait olduğundan emin olun.
Hesap geçişi başarısız oldu - Eski kullanıcı hesapları sunucuya bağlanamıyorsa ancak yeni oluşturulan hesaplar bağlanabiliyorsa, hesap geçişi doğru olmayabilir. Bu sorun AD DS ile ilgilidir.
Çözüm: Daha fazla bilgi için bkz . SQL Server örnekleri arasında oturum açma bilgilerini ve parolaları aktarma.
Etki Alanı Denetleyicisi çevrimdışı - Etki alanı denetleyicisinin erişilebilir olmadığı bir sorunu ifade eder.
Çözüm: Bilgisayarı başka bir etki alanı denetleyicisine geçmeye zorlamak için komutunu kullanın
nltest. Daha fazla bilgi için bkz . Active Directory çoğaltma olay kimliği 2087: DNS arama hatası çoğaltmanın başarısız olmasına neden oldu.Güvenlik duvarı Etki Alanı Denetleyicisini engeller - Kullanıcının kaynaklara erişimini yönetirken sorunlarla karşılaşabilirsiniz.
Çözüm: Etki alanı denetleyicisinin istemciden veya sunucudan erişilebilir olduğundan emin olun. Bunu yapmak için komutunu kullanın
nltest /SC_QUERY:CONTOSO.Oturum açma güvenilmeyen bir etki alanından geliyor - Bu sorun etki alanları arasındaki güven düzeyiyle ilgilidir. Şu hata iletisini görebilirsiniz: "Oturum açılamadı. Oturum açma bilgisi güvenilmeyen bir etki alanından geliyor ve Windows kimlik doğrulamasıyla kullanılamaz. (18452)."
Hata 18452 , oturum açma işleminin Windows Kimlik Doğrulaması kullandığını ancak oturum açmanın tanınmayan bir Windows sorumlusu olduğunu gösterir. Tanınmayan bir Windows sorumlusu, oturum açma bilgilerinin Windows tarafından doğrulanamaz olduğunu gösterir. Bunun nedeni Windows oturum açma bilgilerinin güvenilmeyen bir etki alanından gelmesi olabilir. Etki alanları arasındaki güven düzeyi, hesap kimlik doğrulamasında veya Hizmet Sağlayıcısı Adı 'nın (SPN) görünürlüğünde hatalara neden olabilir.
Çözüm: Bu sorunu çözmek için bkz . MSSQLSERVER_18452.
Etki alanları arası gruplar için izin yok - Uzak etki alanındaki kullanıcılar SQL Server etki alanındaki bir gruba ait olmalıdır. Başka bir etki alanından SQL Server örneğine bağlanmak için bir etki alanı yerel grubu kullanmayı denerseniz bir sorun olabilir.
Çözüm: Etki alanlarında doğru güven yoksa, uzak etki alanındaki bir gruba kullanıcı eklemek sunucunun grup üyeliğini numaralandırmasını engelleyebilir.
Seçmeli kimlik doğrulaması devre dışı bırakıldı - Etki alanı yöneticisinin uzak etki alanındaki kaynaklara erişimi olan kullanıcıları sınırlamasına olanak tanıyan etki alanı güvenleri özelliğine başvurur. Seçmeli kimlik doğrulaması etkin değilse, güvenilen etki alanındaki tüm kullanıcılar uzak etki alanına erişebilir.
Çözüm: Bu sorunu çözmek için, kullanıcıların uzak etki alanında kimlik doğrulaması yapmasına izin verilmediğinden emin olmak için seçmeli kimlik doğrulamasını etkinleştirin.
Kerberos kimlik doğrulaması
Bu bölümde Kerberos kimlik doğrulamasıyla ilgili sorunlar listelenir:
NetBIOS adına yanlış dns soneki ekleniyor - Bu sorun, tam etki alanı adı (örneğin, SQLPROD01.CONTOSO.COM) yerine yalnızca NetBIOS adını (örneğin, SQLPROD01) kullanıyorsanız oluşabilir. Bu durum meydana geldiğinde, yanlış DNS son eki eklenebilir.
Çözüm: Bunların doğru olduğundan emin olmak için varsayılan soneklerin ağ ayarlarını denetleyin veya sorunlardan kaçınmak için FQDN'yi kullanın.
Saat dengesizliği çok yüksek - Bir ağdaki birden çok cihaz eşitlenmemişse bu sorun oluşabilir. Kerberos kimlik doğrulamasının çalışabilmesi için cihazlar arasındaki saatler beş dakikadan fazla senkron dışı kalmamalıdır, aksi takdirde tutarlı kimlik doğrulama hataları meydana gelebilir.
Çözüm: Bilgisayarları, saatlerini düzenli olarak merkezi bir saat hizmetiyle eşitlenecek şekilde ayarlayın.
Hassas hesapların diğer hizmetlere devredilmesi - Bazı hesaplar AD DS'de
Sensitiveolarak işaretlenmiş olabilir. Bu hesaplar, çift atlama senaryosunda başka bir hizmete devredilemez. Hassas hesaplar güvenlik sağlama açısından kritik öneme sahiptir, ancak kimlik doğrulamasını etkileyebilir.Çözüm: Bu sorunu çözmek için bkz . NT AUTHORITY\ANONYMOUS LOGON kullanıcısı için oturum açma başarısız oldu.
Dosya paylaşımına temsilci seçme - Bir kullanıcı veya uygulamanın bir dosya paylaşımına erişmek için kimlik bilgilerini temsilci olarak verdiği bir durumu ifade eder. Uygun kısıtlamalar olmadan, kimlik bilgilerini bir dosya paylaşımına yetki vermek güvenlik risklerine yol açabilir.
Çözüm: Bu tür bir sorunu çözmek için kısıtlanmış temsil kullandığınızdan emin olun.
Ayrık DNS ad alanı - DNS soneki etki alanı üyesi ile DNS arasında uyumlu değilse karşılaşılabilecek sürekli bir kimlik doğrulama sorununu ifade eder. Kopuk bir ad alanı kullanıyorsanız kimlik doğrulaması sorunlarıyla karşılaşabilirsiniz. AD DS ve DNS'deki kuruluş hiyerarşisi eşleşmiyorsa, veritabanı uygulaması bağlantı dizesi NETBIOS adını kullanırsanız yanlış SPN oluşturulabilir. Bu durumda SPN bulunmaz ve Kerberos kimlik bilgileri yerine Yeni Teknoloji LAN Yöneticisi (NTLM) kimlik bilgileri kullanılır.
Çözüm: Sorunu azaltmak için sunucunun FQDN'sini kullanın veya bağlantı dizesi SPN adını belirtin. FQDN hakkında bilgi için bkz . Bilgisayar Adlandırma.
Yinelenen SPN - bir etki alanında iki veya daha fazla SPN'nin aynı olduğu bir durumu ifade eder. SPN'ler, Bir Windows etki alanındaki sunucularda çalışan hizmetleri benzersiz olarak tanımlamak için kullanılır. Yinelenen SPN'ler kimlik doğrulaması sorunlarına neden olabilir.
Çözüm: Bu sorunu çözmek için bkz . Kerberos Configuration Manager ile ilgili hatayı düzeltme (Önerilen).
SPN'lerde HTTP bağlantı noktalarını etkinleştirme - GENELLIKLE, HTTP SPN'leri bağlantı noktası numaralarını kullanmaz (örneğin,
http/web01.contoso.com).Çözüm: Bu sorunu çözmek için istemcilerde ilkeyi kullanarak bunu etkinleştirebilirsiniz. Daha sonra Kerberos'un düzgün çalışmasını sağlamak için SPN'nin
http/web01.contoso.com:88biçiminde olması gerekir. Aksi takdirde, NTLM kimlik bilgileri kullanılır.NTLM kimlik bilgileri, sorunu tanılamayı zorlaştırabileceğinden önerilmez. Ayrıca bu durum aşırı yönetim yüküne neden olabilir.
Süresi dolan biletler - Kerberos biletlerini ifade eder. Süresi dolan Kerberos biletlerinin kullanılması kimlik doğrulaması sorunlarına neden olabilir.
Çözüm: Bu sorunu çözmek için bkz . Süresi dolmuş biletler.
HOSTS dosyası yanlış - HOSTS dosyası DNS aramalarını kesintiye uğratabilir ve beklenmeyen bir SPN adı oluşturabilir. Bu durum NTLM kimlik bilgilerinin kullanılmasına neden olur. HOSTS dosyasında beklenmeyen bir IP adresi varsa, oluşturulan SPN işaret edilen arka uç sunucusuyla eşleşmeyebilir.
Çözüm: HOSTS dosyasını gözden geçirin ve sunucunuzun girdilerini kaldırın. HOSTS dosya girişleri SQLCHECK raporunda gösterilir.
Hizmet başına güvenlik tanımlayıcısı (SID) izinleriyle ilgili sorun - Hizmet başına SID, kimlik doğrulama yöntemi olarak Kerberos değil, yerel bağlantıları NTLM kullanacak şekilde sınırlayan bir SQL Server güvenlik özelliğidir. Hizmet, NTLM kimlik bilgilerini kullanarak başka bir sunucuya tek bir atlama yapabilir, ancak kısıtlanmış temsil yetkisi kullanılmadan daha ileriye devredilemez. Daha fazla bilgi için bkz NT AUTHORITY\ANONYMOUS LOGON kullanıcısı için oturum açma başarısız oldu.
Çözüm: Bu sorunu çözmek için etki alanı yöneticisinin kısıtlanmış temsili ayarlaması gerekir.
Çekirdek modu kimlik doğrulaması - Uygulama Havuzu hesabındaki SPN genellikle web sunucuları için gereklidir. Ancak Çekirdek modu kimlik doğrulaması kullanıldığında, bilgisayarın HOST SPN'si kimlik doğrulaması için kullanılır. Bu eylem çekirdekte gerçekleşir. Sunucu aynı ana bilgisayar üst bilgisi URL'sini, farklı Uygulama Havuzu hesaplarını ve Windows Kimlik Doğrulaması'nı kullanan birçok farklı web sitesini barındırıyorsa bu ayar kullanılabilir.
Çözüm: Çekirdek modu kimlik doğrulaması etkinleştirildiyse HTTP SPN'lerini kaldırın.
Access veya Excel için temsilci haklarını sınırlama - Birleşik Altyapı Teknolojisi (JET) ve Erişim Bağlantı Altyapısı (ACE) sağlayıcıları, dosya sistemlerinden herhangi birine benzer. SQL Server'ın başka bir bilgisayarda bulunan dosyaları okumasını sağlamak için kısıtlanmış temsilci kullanmanız gerekir. Genel olarak, BU açıkça desteklenmediğinden ACE sağlayıcısı bağlı bir sunucuda kullanılmamalıdır. JET sağlayıcısı kullanım dışıdır ve yalnızca 32 bit bilgisayarlarda kullanılabilir.
Not
32 bit yüklemeleri destekleyen son sürüm olan SQL Server 2014 destekten çıktığında JET senaryosu artık desteklenmeyecektir.
Eksik SPN - Sql Sever örneğiyle ilgili bir SPN yoksa bu sorun oluşabilir.
Çözüm: Daha fazla bilgi için bkz . Kerberos Configuration Manager ile ilgili hatayı düzeltme (Önerilen).
Kısıtlanmış hedef değil - Belirli bir hizmet hesabı için kısıtlanmış yetkilendirme etkinse, hedef sunucunun SPN'si kısıtlanmış yetkilendirme hedefleri listesinde bulunmuyorsa Kerberos başarısız olur.
Çözüm: Bu sorunu çözmek için, etki alanı yöneticisinin hedef sunucunun SPN'sini orta katman hizmet hesabının hedef SPN'lerine eklemesi gerekir.
NTLM ve kısıtlanmış temsil - Hedef bir dosya paylaşımıysa, orta katman hizmet hesabının temsilci türü Constrained-Kerberos değil, Constrained-Any olmalıdır. Temsilci türü Kısıtlanmış-Kerberos olarak ayarlanırsa, orta katman hesabı yalnızca belirli hizmetlere ayırabilir, ancak Kısıtlanmış-Herhangi biri hizmet hesabının herhangi bir hizmete temsilci atamasına izin verir.
Çözüm: Bu sorunu çözmek için bkz . NT AUTHORITY\ANONYMOUS LOGON kullanıcısı için oturum açma başarısız oldu.
AD'de yetki devri için hizmet hesabına güvenilmez - Çift atlamalı bir senaryoda, AD DS'de yetki devri için orta katman hizmetinin hizmet hesabına güvenilmesi gerekir. Yetkilendirme için hizmet hesabı güvenilir değilse Kerberos kimlik doğrulaması başarısız olabilir.
Çözüm: Yöneticiyseniz Temsilci seçme için güvenilen seçeneğini etkinleştirin.
Bazı eski sağlayıcılar Adlandırılmış Kanallar üzerinden Kerberos'u desteklemez- Windows ile birlikte gelen eski OLE DB sağlayıcısı (SQLOLEDB) ve ODBC sağlayıcısı (SQL Server), Adlandırılmış Kanallar üzerinden Kerberos kimlik doğrulaması desteği sunmaz. Bunun yerine, yalnızca NTLM kimlik doğrulamayı destekler.
Çözüm: Kerberos kimlik doğrulamasına izin vermek için TCP bağlantısı kullanın. MSOLEDBSQL veya ODBC Sürücüsü 17 gibi daha yeni bir sürücü de kullanabilirsiniz. Ancak sürücünün sürümünden bağımsız olarak TCP, Adlandırılmış Kanallar yerine tercih edilir.
SPN yanlış bir hesapla ilişkilendirildi - Bu sorun, BIR SPN AD DS'deki yanlış hesapla ilişkiliyse oluşabilir. Daha fazla bilgi için bkz . Kerberos Configuration Manager ile ilgili hatayı düzeltme (Önerilen).
SPN'niz AD DS'de yanlış hesapta yapılandırılmışsa bir hata iletisi alabilirsiniz.
Çözüm: Hatayı çözmek için şu adımları izleyin:
- SPN'yi ve geçerli hesabını bulmak için kullanın
SETSPN -Q spnName. - Mevcut SPN'leri silmek için kullanın
SETSPN -D. -
SETSPN -Söğesini SPN'yi doğru hesaba geçirmek için kullanın.
- SPN'yi ve geçerli hesabını bulmak için kullanın
SQL Alias düzgün çalışmayabilir - Bir SQL Server aliası beklenmeyen bir SPN'nin üretilmesine neden olabilir. Bu, SPN bulunamazsa NTLM kimlik bilgilerinin başarısız olmasına veya yanlışlıkla başka bir sunucunun SPN'sine eşleştiğinde SSPI hatasına neden olur.
Çözüm: SQL Takma Adları SQLCHECK raporunda gösterilir. Sorunu çözmek için yanlış veya yanlış yapılandırılmış SQL diğer adlarını tanımlayıp düzelterek doğru SQL Server'a işaret etmelerini sağlayın.
Kullanıcı birçok gruba ait - Bir kullanıcı birden çok gruba aitse, Kerberos'ta kimlik doğrulama sorunları oluşabilir. UDP üzerinden Kerberos kullanıyorsanız, güvenlik belirtecinin tamamı tek bir pakete sığmalıdır. Birçok gruba ait kullanıcıların güvenlik belirteci, daha az gruba ait olan kullanıcılardan daha büyük olur.
Çözüm: TCP üzerinden Kerberos kullanıyorsanız [
MaxTokenSize] ayarını artırabilirsiniz. Daha fazla bilgi için bkz . MaxTokenSize ve Kerberos Token Bloat.Web sitesi ana bilgisayar üst bilgisini kullanma - HTTP Ana Bilgisayarı üst bilgisi, web sayfalarına erişmek için HTTP protokolünde çok önemli bir rol oynar.
Çözüm: Web sitesinin ana bilgisayar üst bilgisi adı varsa, HOSTS SPN kullanılamaz. Açık bir HTTP SPN kullanılmalıdır. Web sitesinin ana bilgisayar üst bilgisi adı yoksa NTLM kullanılır. NTLM bir arka uç SQL Server örneğine veya başka bir hizmete devredilemiyor.
NT LAN Manager (NTLM)
Bu bölümde NTLM'ye (NT LAN Yöneticisi) özgü sorunlar listelenir:
NTLM eş oturum açma işlemleri için erişim reddedildi - NTLM eş oturum açma işlemleriyle ilgili bir soruna başvurur.
Çözüm: İş istasyonlarındaki veya birbirine güvenmeyen etki alanlarındaki bilgisayarlar arasında iletişim kurarken, her iki bilgisayarda da aynı hesapları ayarlayabilir ve NTLM eş kimlik doğrulamasını kullanabilirsiniz.
Oturum açma işlemleri yalnızca hem kullanıcı hesabı hem de parola her iki bilgisayarda da eşleşiyorsa çalışır. NTLM kimlik doğrulaması istemci veya sunucu tarafında devre dışı bırakılmış veya desteklenmiyor olabilir. Bu durum kimlik doğrulaması hatalarına neden olabilir. Daha fazla bilgi için bkz . MSSQLSERVER_18456.
Birden çok bilgisayarda çift atlama senaryoları - NTLM kimlik bilgileri kullanılırsa çift atlama işlemi başarısız olur. Kerberos kimlik bilgileri gereklidir.
Çözüm: Bu sorunu çözmek için bkz . NT AUTHORITY\ANONYMOUS LOGON kullanıcısı için oturum açma başarısız oldu.
Geri döngü koruması doğru ayarlanmadı - Geri döngü koruması, uygulamaların aynı bilgisayardaki diğer hizmetleri çağırmasını engelecek şekilde tasarlanmıştır. Geri döngü koruması doğru yapılandırılmamışsa veya herhangi bir arıza varsa, bu durum dolaylı olarak kimlik doğrulaması sorunlarına neden olabilir.
Çözüm: Bu sorunu çözmek için bkz . MSSQLSERVER_18456.
Always-on dinleyicisine bağlandığınızda geri döngü koruması başarısız oluyor - Bu sorun geri döngü korumasıyla ilgilidir. Birincil düğümden Always-On Dinleyicisine bağlandığınızda, bağlantı NTLM kimlik doğrulamasını kullanır.
Çözüm: Daha fazla bilgi için bkz . MSSQLSERVER_18456.
LANMAN uyumluluk düzeyini etkileyen sorun - LAN Manager (LANMAN) kimlik doğrulaması sorunu genellikle eski (Windows Server 2008 öncesi) ve daha yeni bilgisayarlar tarafından kullanılan kimlik doğrulama protokollerinde bir uyuşmazlık varsa oluşur. Uyumluluk düzeyini 5 olarak ayarladığınızda NTLMv2'ye izin verilmez.
Çözüm: Kerberos daha güvenli olduğundan Kerberos'a geçiş yapmak bu sorunu önler. Daha fazla bilgi için bkz NT AUTHORITY\ANONYMOUS LOGON kullanıcısı için oturum açma başarısız oldu.
SQL Oturum Açma
Bu bölümde kimlik doğrulaması kimlik bilgileriyle ilgili sorunlar listelenir:
Hatalı parola - Oturum açmayla ilgili bir sorunu ifade eder.
Çözüm: Bu sorunu çözmek için bkz . MSSQLSERVER_18456.
Geçersiz kullanıcı adı - Oturum açmayla ilgili bir sorunu ifade eder.
Çözüm: Bu sorunu çözmek için bkz . MSSQLSERVER_18456.
SQL Server oturum açma bilgileri etkinleştirilmedi - SQL Server kimlik doğrulamasını kullanarak bir Microsoft SQL Server örneğine bağlanmaya çalıştığınız ancak hesapla ilişkili oturum açma bilgilerinin devre dışı bırakıldığı bir senaryoya başvurur.
Çözüm: Bu sorunu çözmek için bkz . MSSQLSERVER_18456.
Adlandırılmış Kanallar bağlantıları, kullanıcının Windows'ta oturum açma izni olmadığı için başarısız olur - Windows'taki bir izin sorununa işaret eder.
Çözüm: Bu sorunu çözmek için SQL Server'da Adlandırılmış Kanallar bağlantı sorunu'na bakın.
Windows izinleri
Bu bölümde, Windows izinlerine veya ilke ayarlarına özgü sorunlar listelenir:
Erişim yerel gruplar aracılığıyla verilir - Kullanıcı sunucuya erişim vermek için kullanılan bir yerel gruba ait değilse, sağlayıcı "'contoso/user1' kullanıcısı için oturum açma başarısız oldu" hata iletisini görüntüler.
Çözüm: Veritabanı yöneticisi, SQL Server Management Studio'daki (SSMS) Güvenlik>Oturum Açma Bilgileri klasörünü inceleyerek bu durumu denetleyebiliyor. Veritabanı içerilen bir veritabanıysa
databasenamealtında kontrol edin. Daha fazla bilgi için bkz. '<kullanıcıadı>' kullanıcısı için oturum açma başarısız oldu veya '<etkialanı>\<kullanıcıadı>' kullanıcısı için oturum açma başarısız oldu.Credential guard etkinleştirildi - Bu senaryo Credential Guard özelliğinin bir Windows sisteminde etkinleştirildiğini ve hassas bilgileri depolamak için güvenli bir ortam oluşturmak için kullanıldığını gösterir. Ancak, bazı durumlarda bu özellik kimlik doğrulaması sorunlarına neden olabilir.
Çözüm: Bu sorunu çözmek için bir etki alanı yöneticisinin kısıtlanmış temsilci ayarlamasını isteyin. Daha fazla bilgi için bkz . Credential Guard kullanırken dikkat edilmesi gerekenler ve bilinen sorunlar.
Yerel güvenlik alt sistemi hataları - Yerel güvenlik alt sistemi hatalarıyla karşılaştığınızda, özellikle LSASS'ye bağlı olanlar yanıt vermiyorsa, kimlik doğrulamasını etkileyen temel sorunları gösterebilir.
Çözüm: Bu hataları çözmek için bkz . SQL Server'da yerel güvenlik alt sistemi hataları.
Ağ oturum açmasına izin verilmiyor - Bu senaryo, bir ağda oturum açmaya çalıştığınızda oluşur ancak oturum açma isteğiniz belirli nedenlerle reddedilir.
Çözüm: Bu sorunu çözmek için bkz . Kullanıcının ağda oturum açma izinleri yok.
Yalnızca yöneticiler oturum açabilir - Bu sorun, bilgisayardaki güvenlik günlüğü doluysa ve olayları doldurmak için yeterli alana sahip değilse oluşur. CrashOnAuditFail güvenlik özelliği, sistem yöneticileri tarafından tüm güvenlik olaylarını denetlemek için kullanılır. için
CrashOnAuditFailgeçerli değerler 0, 1 ve 2'dir. anahtarıCrashOnAuditFail2 olarak ayarlandıysa bu, güvenlik günlüğünün dolu olduğu ve "Yalnızca Yöneticiler oturum açabilir" hata iletisinin gösterildiği anlamına gelir.Çözüm: Bu sorunu çözmek için şu adımları izleyin:
- Kayıt defteri düzenleyicisini başlatın.
- Değerin
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa!crashonauditfail2 olarak ayarlanıp ayarlanmadığını görmek için alt anahtarı bulun ve denetleyin. Bu değer, güvenlik günlüğünün el ile temizleme gerektirdiğini gösterir. - Değeri 0 olarak ayarlayın ve sunucuyu yeniden başlatın. Olayların devredilebilmesi için güvenlik günlüğünü de değiştirmek isteyebilirsiniz. Ayarın SQL, IIS, dosya paylaşımı ve oturum açma gibi tüm hizmetleri nasıl etkilediği hakkında daha fazla bilgi için bkz . Güvenlik olay günlüğü dolduğunda Kullanıcılar Web sitelerine erişemiyor.
Not
Bu sorun yalnızca tümleşik oturum açma bilgilerini etkiler. Adlandırılmış Kanallar, SQL Server'a bağlanmadan önce Windows Yönetici Kanalı'nda ilk kez oturum açtığından, ADLANDıRıLMıŞ Kanallar bağlantısı SQL Server oturum açma bilgisinde de etkilenir.
Temsilci seçme için hizmet hesabına güvenilmiyor - Bu tür bir sorun genellikle bir hizmet hesabının diğer sunuculara kimlik bilgileri atamasına izin verilmiyorsa oluşur. Bu sorun, temsilci seçme gerektiren hizmetleri etkileyebilir.
Çözüm: Eğer bir yetki atama senaryosu etkinleştirilmemişse, kimlik doğrulaması sonrası bir istemcinin kimliğine bürünme güvenlik ilkesi ayarlarından SQL Server hizmet hesabının secpol.msc altında Yerel İlkeler > Kullanıcı Hakları Ataması > listesinde olup olmadığını kontrol edin. Daha fazla bilgi için bkz. Temsilci seçme için bilgisayar ve kullanıcı hesaplarının güvenilir olmasını etkinleştirme.
Windows kullanıcı profili SQL Server'a yüklenemiyor - Windows kullanıcı profili sorununa başvurur.
Çözüm: Bozuk kullanıcı profillerinin sorunlarını giderme hakkında daha fazla bilgi için bkz . Windows kullanıcı profili SQL Server'a yüklenemiyor.
Diğer yönleri
Bu bölümde, bir web ortamındaki kimlik doğrulaması ve erişim denetimiyle ilgili sorunlar listelenir:
Tümleşik kimlik doğrulaması etkinleştirilmedi - Tümleşik Windows Kimlik Doğrulaması'nın (IWA) doğru yapılandırılmadığı bir yapılandırma sorununa başvurur.
Çözüm: Bu sorunu çözmek için, İnternet Seçenekleri ayarlarında Tümleşik Windows Kimlik Doğrulaması seçeneğinin etkinleştirildiğinden emin olun.
IIS Kimlik Doğrulamasına izin verilmiyor - Bu sorun IIS'deki yanlış yapılandırmalar nedeniyle oluşur. Web uygulamasının Web.config dosyasında tanımlanan kimlik doğrulama ayarları IIS'de yapılandırılan ayarlarla çakışabilir. Bu durum kimlik doğrulaması sorunlarına neden olabilir.
Çözüm: Bu sorunu çözmek için web sitesini Windows Kimlik Doğrulaması'nı etkinleştirecek şekilde yapılandırın ve Web.config
<identity impersonate="true"/>değeri ayarlayın.Yanlış internet bölgesi - Bu sorun, Internet Explorer'da doğru İnternet bölgesinde olmayan bir web sitesine erişmeye çalıştığınızda oluşabilir. Web sitesi yerel Intranet bölgesindeyse kimlik bilgileri çalışmaz.
Çözüm: Web sunucusunu IE'nin yerel intranet bölgesine ekleyin.
Üçüncü taraf bilgileri hakkında yasal uyarı
Bu makalede adı geçen üçüncü taraf ürünleri Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft, bu ürünlerin performansı veya güvenilirliği ile ilgili örtük veya başka türlü hiçbir garanti vermez.