Вопросы Теги

Междоменный вход в SQL Server с использованием аутентификации Windows

У меня есть именованный экземпляр SQL Server 2005, использующий проверку подлинности Windows с группами домена, служащими в качестве учетных записей. Структуры домена следующие: 

      Forest1                Forest2
      /      \                  |
Domain1       Domain2        Domain3

Объекты организованы в следующие домены:

Forest1.Domain1

  • Пользователи
  • Глобальные группы

Forest1.Domain2

  • Экземпляр SQL Server
  • Локальный домен Группы (выступающие в качестве логинов)

Forest2. Domain3

  • Пользователи
  • Глобальные группы

Все мои пользователи существуют в Domain1 и Domain3 , но ящик SQL Server существует в Domain2 . Таким образом, мои учетные записи являются группами домена в Domain2 . Когда пользователь в Domain1 добавляется в локальную группу домена в Domain2 и пытается подключиться по протоколу TCP / IP к экземпляру SQL Server, он получает следующее сообщение об ошибке:

Не удается подключиться к . Не удалось войти в систему для пользователя «Domain1 \ userName». (Microsoft SQL Server, ошибка: 18456)

Другие вещи, которые я пробовал:

  • Если я добавлю пользователя в качестве логина Когда пользователь в Domain1 добавляется в локальную группу домена в Domain2 и пытается подключиться по протоколу TCP / IP к экземпляру SQL Server, он получает следующее сообщение об ошибке:

    Не удается подключиться к . Не удалось войти в систему для пользователя «Domain1 \ userName». (Microsoft SQL Server, ошибка: 18456)

    Другие вещи, которые я пробовал:

    • Если я добавлю пользователя в качестве логина Когда пользователь в Domain1 добавляется в локальную группу домена в Domain2 и пытается подключиться по протоколу TCP / IP к экземпляру SQL Server, он получает следующее сообщение об ошибке:

      Не удается подключиться к . Не удалось войти в систему для пользователя «Domain1 \ userName». (Microsoft SQL Server, ошибка: 18456)

      Другие вещи, которые я пробовал:

      • Если я добавлю пользователя в качестве логина явно, он может подключиться.

      • Если я добавлю глобальную группу Domain1 который пользователь является участником как логин явно, он может подключиться.

      • Если я добавлю глобальную группу Domain1 который пользователь является участником как член локального домена Domain2 группа используется как логин, он не может Область действия группы и Вложенные группы ), группа домена ДОЛЖНА быть локальной группой домена, чтобы включать пользователей как из Домена 1 , так и из Домена 3 .

        Как я могу использовать группу домена в качестве входа в SQL Server с помощью проверки подлинности Windows, чтобы группа домена могла содержать пользователей из Domain1 и Domain3 , а пользователи могли подключаться удаленно через TCP / IP?

        ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ

        • Учетная запись службы для именованного экземпляра SQL Server - это учетная запись пользователя в Domain1
        • SPN были добавлены для учетной записи службы (включая имя сервера и псевдонимы)

        ОБНОВЛЕНИЕ

        Изменение учетной записи службы экземпляра службы SQL в Domain2 , похоже, решило проблему. Я продолжу исследование и отправлю свои результаты обратно!

26
задан bitxwise 6 May 2011 в 14:38
поделиться