J'essaie d'obtenir un serveur lié à ServerA créé sur un autre serveur, ServerB en utilisant "Être créé en utilisant le contexte de sécurité actuel de la connexion" dans un environnement de domaine. J'ai lu que je devrais avoir des SPN créés pour les comptes de service qui exécutent SQL Server sur chacun des serveurs afin d'activer Kerberos. Je l'ai fait et les deux montrent maintenant que le schéma d'authentification est Kerberos, cependant, je suis toujours confronté à l'erreur:
"Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'".
Dans Active Directory, je peux voir que le compte de service pour ServerB est approuvé pour la délégation à MSSQLSvc, mais j'ai remarqué que le compte de service pour ServerA n'a pas encore activé «Approuver cet utilisateur pour la délégation». Le serveur cible doit-il également activer cette option? Faut-il autre chose pour pouvoir utiliser la connexion Windows actuelle pour utiliser un serveur lié?
la source
Deux choses ici:
Lorsque vous utilisez un serveur lié sans mapper la connexion du serveur local au serveur distant, ne vous connectez pas à une machine distante et utilisez une connexion Windows pour exécuter des scripts. Le problème du double saut entre en jeu car il utilise l'emprunt d'identité.
En outre, vous devrez configurer le DTC local via DCOMCNFG pour la communication. Voir photo ci-jointe.
(DCOMCNFG -> Services de composants -> Ordinateurs -> Poste de travail -> Coordonnateur des transactions distribuées -> LocalDTC -> Propriétés -> Sécurité)
la source