2

私は何が起こっているのか理解しようとしています。セットアップは次のとおりです。相互にレプリケーションしている4つのSQLサーバーがあります。

新しいユーザーをWindowsActiveDirectoryに追加し、長年使用してきたSQLServer内のグループに追加します。

新しいユーザーがWindows認証を使用して認証しようとすると、件名にそのエラーが返されます。ただし、以前はActiveDirectoryにいたユーザーはすべて正常に機能します。

このエラーのためにログインできなかったユーザーのグループがあったため、ある時点でSQLServerが「追いついた」状態になりました。SPNにいくつかの変更を加えた結果、誰もログインできないようになりました。その後、SPNがどのように表示されるかを理解し、修正しました。それから私はいくつかの魔法が起こったと思います、そしてそれらのユーザーは認証することができました。修正されたと思いましたが、新しいユーザーを1人追加する必要があり、認証できないため、明らかにそうではありません。

興味深いのは、ユーザーが4つのSQLServerのうち3つで認証できることです。正しく機能していないのは、この1台のサーバーだけです。このSQLサーバーでSQlサービス用に2つのSPNを設定しました。

彼らは次のように見えます-

MSSQLSvc /[サーバー名]。[ドメイン].local:1433

MSSQLSvc / [サーバー名]:1433

これらは、SQLServerに使用するサービスアカウントに実際に登録されています。興味深いのは、どこでも動作しているサーバーのSPNが見つからないことです。

どんな助けでもいただければ幸いです!

編集:また、注意すべきもう1つのポイントは、SQLサーバーへのログインとしてユーザーを直接追加しようとした場合です。[ログイン]を右クリックし、[ログインの追加]をクリックしてから、[検索]をクリックします。次に、[ドメイン] \ [ユーザー名]と入力し、[名前の確認]をクリックします。名前が正しいことを検証します。次に、[OK]をクリックします。そして、もう一度OKすると、エラーWindowsNTユーザーまたはグループ'[ドメイン]\[ユーザー名]'が見つかりません。名前をもう一度確認してください。

4

1 に答える 1

3

修正されたと思いましたが、新しいユーザーを1人追加する必要があり、認証できないため、明らかにそうではありません。

ユーザーは、新しいグループを取得するために再ログインする必要があります。それ以外の場合、Kerberosチケットは引き続きPACの古いグループメンバーシップ情報を使用しています

これらは、SQLServerに使用するサービスアカウントに実際に登録されています。興味深いのは、どこでも動作しているサーバーのSPNが見つからないことです。

何が起こるかというと、SPNが正しく設定されているSQL Serverが1つあり、SPNがまったく設定されていない他の3つのSQLServerがあるということです。したがって、この特定のサーバーではKerberosを使用し、他の3つのサーバーではNTLMを使用します。

前述のように、Kerberosを使用している場合は、いくつかのツールを使用してチケットをパージするか、新しいグループメンバーシップを取得するために再ログインする必要があります。画面をロックしてからロックを解除することもできます。私が正しく覚えていれば、これもチケットを更新するはずです。

Kerberosとは異なり、NTLMはグループmemberhsipデータを伝送しません。SQL ServerがNTLMを使用してユーザーを認証すると、追加したばかりの新しいグループを含む、認証されたユーザーのグループメンバーシップが検出されます。

于 2012-06-18T05:35:28.783 に答える