Ich versuche, einen Verbindungsserver mit ServerA zu erstellen, der auf einem anderen Server erstellt wurde. ServerB verwendet in einer Domänenumgebung "Mit dem aktuellen Sicherheitskontext des Logins erstellt werden". Ich habe gelesen, dass SPNs für die Dienstkonten erstellt werden müssen, auf denen SQL Server auf jedem Server ausgeführt wird, um Kerberos zu aktivieren. Ich habe das getan und beide zeigen nun, dass das Authentifizierungsschema Kerberos ist, aber ich stehe immer noch vor dem Fehler:
"Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'".
In Active Directory wird angezeigt, dass das Dienstkonto für ServerB für die Delegierung an MSSQLSvc als vertrauenswürdig eingestuft ist. Ich habe jedoch festgestellt, dass für das Dienstkonto für ServerA die Option "Diesem Benutzer für die Delegierung vertrauen" noch nicht aktiviert ist. Muss auf dem Zielserver diese Option auch aktiviert sein? Ist noch etwas erforderlich, um die aktuelle Windows-Anmeldung für die Verwendung eines Verbindungsservers zu verwenden?
quelle
Zwei Dinge hier:
Wenn Sie einen Verbindungsserver verwenden, ohne die lokale Serveranmeldung auf dem Remoteserver zuzuordnen, melden Sie sich nicht auf einem Remotecomputer an und verwenden Sie eine Windows-Anmeldung, um Skripts auszuführen. Das Double-Hop-Problem kommt ins Spiel, da es Identitätswechsel verwendet.
Außerdem müssen Sie den lokalen DTC über DCOMCNFG für die Kommunikation einrichten. Siehe beigefügtes Bild.
(DCOMCNFG -> Komponentendienste -> Computer -> Arbeitsplatz -> Koordinator für verteilte Transaktionen -> LocalDTC -> Eigenschaften -> Sicherheit)
quelle