Подключиться к серверу sql через промежуточную проблему с компьютером, не удалось войти в систему для NT AUTHORITY\ANONYMOUS LOGON

У меня есть SQL Server 2008, к которому я могу подключиться, используя учетные данные пользователя домена. В сети много компьютеров, и если я войду под этим пользователем домена, я смогу успешно подключиться к SQL Server (используя проверку подлинности Windows).

Проблема заключается в том, что я использую удаленное взаимодействие PowerShell и устанавливаю удаленный сеанс с компьютера A на компьютер B. Когда я запускаю наш dbtool, который пытается подключиться к SqlServer (в удаленном сеансе), возникает ошибка «login failed for NT AUTHORITY\ANONYMOUS LOGON».

Это странно, потому что я устанавливаю удаленную сессию под тем же доменным пользователем. Почему ANONYMOUS передается на SqlServer?

Спасибо за помощь


powershell connection sql-server-2008 powershell-remoting
person Roman    schedule 06.02.2011    source источник
comment
Может быть, проблема с двойным прыжком Kerberos?   -  person Martin Smith    schedule 06.02.2011
comment
Да, похоже, это проблема делегирования. У меня аналогичная проблема с удаленным взаимодействием PowerShell и доступом к общим папкам на другом компьютере. Я получаю довольно описательное сообщение об ошибке: Компьютер должен быть доверенным для делегирования, и текущая учетная запись пользователя должна быть настроена для разрешения делегирования.   -  person Roman    schedule 10.02.2011

Ответы (2)


arrow_upward
2
arrow_downward

И еще раз я отвечаю на свой вопрос из-за отсутствия других ответов.

Цепочка связи компьютеров: A -> B -> C.

Таким образом, проблема действительно связана с функцией делегирования авторизации Kerberos (подробнее здесь: http://alt.pluralsight.com/wiki/default.aspx/Keith.GuideBook/WhatIsDelegation.html). Когда я устанавливаю удаленный сеанс с компьютера A на компьютер B, компьютер B отправляет на компьютер C null session (поскольку делегирование запрещено). Вот почему SQL Server на компьютере C видит меня как NT AUTHORITY\ANONYMOUS LOGON.

Мой текущий обходной путь — обратиться к SQL Server с компьютера A (скопировать туда необходимые утилиты), потому что у меня нет возможности включить делегирование. Для этого сценария компьютер A отправляет правильный токен авторизации на компьютер C.

person Roman    schedule 10.02.2011

arrow_upward
2
arrow_downward

Пробовали ли вы включить CredSSP (но не поддерживается на W2k3)?

## Client
Enable-WSManCredSSP -Role Client -DelegateComputer "*.domain.com"

## Server
Enable-WSManCredSSP -Role Server
person JasonMArcher    schedule 12.05.2011
comment
это сработало для меня. Не забудьте включить параметр -Authentication CredSSP при использовании команды вызова после настройки настройки CSSP. - person rob; 27.02.2014