Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2 3   вперед  Ctrl      все
 SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
на комп в домене установлен SQL Server 2008R2 Express Edition,
отмапливаю как логин всю свою виндовскую группу,
с этого же компа захожу под доменной учеткой как своей, так и соседа
(сесед в той же группе)
а вот с компа соседа на сервер можно попасть только под SQL Server-ным логином.
на виндовский почему-то пишет, что он НЕ из trusted domain.
здрасьте, домен тот же.
вроде люди пишут, SPN надо зарегистрировать.
а вот сервер в журнале пишет, что успешно зарегистрировал,
аж 2 раза пишет, с портом и без.
тогда что еще может быть?

в логе ошибки такие:
Logon SSPI handshake failed with error code 0x8009030c while establishing a connection with integrated security; the connection has been closed. Reason: AcceptSecurityContext failed.

Login failed. The login is from an untrusted domain and cannot be used with Windows Authentication
30 июл 13, 18:42    [14639269]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3348
win auth
отмапливаю как логин всю свою виндовскую группу,
Какую группу - доменную или локальную?

Ну и когда сами под виндовой учеткой заходите, посмотрите в сессиях, как именно вас этот экспресс авторизует. А то, может, там BUILTIN\Administrators.
30 июл 13, 18:48    [14639285]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
Ennor Tiegael,
доменную.
вообще BUILTIN\Administrators мной же удалена,
потому как да, любой у нас тут админ,
и все они могли на сервер запросто попасть, сисадминами

авторизует виндовскими учетками.
т.е. как логин у меня только виндовская группа оставлена,
но показывет наши доменные учетки, но только с локального компа.
30 июл 13, 19:05    [14639345]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74925
1. Показывайте информацию из лога, какие протоколы слушает SQL Server.

автор
с этого же компа захожу под доменной учеткой как своей, так и соседа


2. И протокол при этом Shared Memory?

автор
а вот с компа соседа на сервер можно попасть только под SQL Server-ным логином.

3. Какой при этом протокол используется?

автор
на виндовский почему-то пишет, что он НЕ из trusted domain.


Рабочая станция соседа введена в домен? Вход на рабочей станции соседа выполнен под доменной учеткой?
30 июл 13, 20:01    [14639507]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
pkarklin,

да, протокол был Shared Memory.
оставив только TCP/IP, получаю при локальном входе с win auth
ту же самую ошибку:

К сообщению приложен файл. Размер - 10Kb
31 июл 13, 11:09    [14641577]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
Alexxxxxxxxx
Guest
win auth,

Проверяем SPN командой
setspn -q MSSQLSvc/<server>.<domain>

Если SPN зарегистрирован на учетку, отличную от той, от имени которой запускается служба SQL Server, нужно удалить запись командой
setspn -d MSSQLSvc/<server>.<domain> <domain>\<login>
setspn -d MSSQLSvc/<server>.<domain>:1433 <domain>\<login>

Затем зарегистрировать новую запись для сервисной учетки командой
setspn -a MSSQLSvc/<server>.<domain> <domain>\<login>

Вместо <server>, <domain>, <login> подставить свои значения
31 июл 13, 11:24    [14641667]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
Alexxxxxxxxx,

я в этом spn полный дудндук.
сервер-то пишет, что зарегистрировал:
2013-07-31 09:04:15.00 Server The SQL Server Network Interface library successfully registered the Service Principal Name (SPN) [ MSSQLSvc/comp.domain ] for the SQL Server service.
2013-07-31 09:04:15.00 Server The SQL Server Network Interface library successfully registered the Service Principal Name (SPN) [ MSSQLSvc/comp.domain:1433 ] for the SQL Server service.

но мне на setspn -q MSSQLSvc/comp.domain выдается:

'setspn' is not recognized as an internal or external command,
operable program or batch file.

что где прописать или откуда запускать это setspn?
ну и с учеткой: он у меня под Local System ходит,
из-за этого не катит, да?
мою что-ли ему учетку дать?
сейчас попробую сменить на мою учетку, может он сам и зарегистрирует.

а в чем фокус, почему при Shared Memory все отлично было?
ведь он лезет и проверяет доменную учетку, факт.
что меняется при использовании TCP/IP?
31 июл 13, 11:44    [14641818]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
ну, обломайтесь, называется.
на мою учетку заявили, что неправильный Network Password.
мне не понравилось слово Network.
и пришло в голову сменить ему учетку на Network Service.
и вот теперь, как минимум, локально подключаюсь доменной учеткой по TCP/IP.

люди, где почитать в стиле "для чайников" про все эти сетевые дела?
31 июл 13, 11:55    [14641924]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
(мне для себя. а то может кто-то знает,
но не хочет знаниями поделиться, типа "тоже мне, DBA ".
я не претендую, и это мои личные эксперименты с личным же Экспрессом.
сеть только не моя)
31 июл 13, 12:02    [14641989]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
да, и сосед по-прежнему не заходит под виндовской учеткой.
все тот же untrusted domain
31 июл 13, 12:06    [14642013]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3348
Не очень понятно, почему такое. Если только особенности экспресс-редакции, но не должно бы.

SPN нужен немного для другого, это чтобы при аутентификации использовался протокол Kerberos, а не NTLM. Это нужно, если требуется имперсонация доменной учетки пользователя промежуточным сервисом, например Sharepoint. Не ваш случай, в общем.

Протоколы тоже особо не при чем, TCP/IP все прекрасно держит.

Учетка для сервиса лучше чтобы была доменная, всякие локалсистемы могут тихонько гадить.

Еще раз: вы дали права в своем экспрессе доменной группе пользователей, и в AD прописали членство в ней вашего соседа? И это не работает? Странно. И обе машины точно в домене? Одном и том же?

А попробуйте, что ли, зайти с соседнего компа под вашей учеткой. И наоборот - с вашего под его.
31 июл 13, 17:46    [14644502]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
Ennor Tiegael,

так не надо даже и заходить с его компа,
и с моего не пускают по под моей доменной учеткой, если по TCP/IP.

вот еще раз:
я и товарищ, мы в одном отделе и в одной же виндоус-группе,
на рабочем SQL сервере так все и организовано: логин сделан для вин-группы,
индивидуальных нету.

оба мы с любого из компов спокойно логинимся к рабочему серверу.
теперь я на своем компе ставлю Экспресс, где по умолчанию только Shared Memory.
и все продолжают спокойно на мой сервер заходить,
потому как все мы тут локальные админы. поэтому я удаляю как логин BUILTIN\Administrators.

тогда наступает порядок: сосед не может больше, включив мой комп,
проникнуть на мой сервер.
админом там оставлен только логин, соответствующий моей доменной учетке.
тогда для эксперимента добавляю логин для всей нашей виндовой группы.
проверяем с учеткой соседа: заходит.
ок, делаю TCP/IP Enabled.
сообщаю соседу имя компа и он пробует со своего рабочего места, получаем ошибку, untrusted domain.
тогда создаю SQL Server login.
и с этим логином с компа соседа спокойно соединяемся.

теперь, если сделать Shared Memory Disabled, т.е. оставить только TCP/IP,
то и на мою доменную учетку выдают ту же самую ошибку, картинка постами выше.

смена учетной записи для сервера ничего не дала, только было 2 странных момента:

1. если прописываю ему мою учетку, он имя проверяет, все ок, а на пароль пишет,
что неправильный Network password.
не знаю, какой еще Network password, я ввожу виндовский пароль, он отвергает.
т.е. не удалось сменить на мою учетку.

2. пробую сменить на Network Service.
он меняет, перезапускаю сервер, о чудо, Object Explorer соединился, но дальше этого не пошло,
первое же окно New Query выдает все по-старой, про untrusted domain.
короче, пришлось обратно включить Shared Memory.
31 июл 13, 18:13    [14644624]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
ну и про setspn.
не знаю, что и где сервер запускал, чтоб регистрировать SPN,
но самоого ехе-шника на компе не было.
ок, нахожу его в интернете, устаналиваю.
на вот это: setspn -q MSSQLSvc/<server>.<domain>
он написал, какой у него USAGE:

Switches:
-R = reset HOST ServicePrincipalName
Usage: setspn -R computername
-A = add arbitrary SPN
Usage: setspn -A SPN computername
-D = delete arbitrary SPN
Usage: setspn -D SPN computername
-L = list registered SPNs
Usage: setspn [-L] computername

из всего этого мне разве что -L подошло, запускаю.
выдает 4 строки:
MSSQLSvc/<server>.<domain>
MSSQLSvc/<server>.<domain>:1433
HOST/<server>
HOST/<server>.<domain>
31 июл 13, 18:24    [14644694]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
Ennor Tiegael
SPN нужен немного для другого, это чтобы при аутентификации использовался протокол Kerberos, а не NTLM. Это нужно, если требуется имперсонация доменной учетки пользователя промежуточным сервисом, например Sharepoint. Не ваш случай, в общем.



может, как раз мой случай?
как узнать, есть ли у нас этот Sharepoint?
я помню, попросили вывесить отчет на портал.
ни с каким адресом сервера из VS не деплоилось.
тогда мне дали права прямо пойти на портал и там файл загрузить.
так я гружу еще и Data Source,
и надо там указать аутентикацию.
выставляю Windows integrated security, а мне выдают:
Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'.

и пока они сами там не забили
Credentials stored securely in the report server
ничего поделать было нельзя!

помнится, пришлось полезть в интернет на предмет этой ошибки,
и как раз подумалось, что у них этот самый NTLM
31 июл 13, 18:50    [14644843]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74925
win auth,

Слишком много несистематизированной информации, к сожалению. Давайте начнем с простого. С попытки подключиться через sqlcmd.exe при условии работы Express редакции под локальной учетной записью при этом подключение производиться с "компа соседа" и он зашел на него под доменной учеткой.
31 июл 13, 20:26    [14645197]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
pkarklin,

давайте.
правда, пока еще остальные не пришли.
но со своего компа:
делаю Shared Memory Enabled -- No.
запускаю sqlcmd без параметров, т.е. под моей же доменной учеткой лезу локально по TCP/IP.
получаю:

Msg 18452, Level 14, State 1, Server GC0050V7, Line 1
Login failed. The login is from an untrusted domain and cannot be used with Wind
ows authentication.
1 авг 13, 10:54    [14647098]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
invm
Member

Откуда: Москва
Сообщений: 9633
win auth,

Включите на сервере Shared Memory, TCP/IP и Named Pipes, перезапустите его, выполните в консоли и покажите результат:
whoami /user /groups
sqlcmd -S LPC:GC0050V7 -E -Q "select system_user"
sqlcmd -S NP:GC0050V7 -E -Q "select system_user"
sqlcmd -S TCP:GC0050V7 -E -Q "select system_user"
1 авг 13, 11:14    [14647277]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
1.
'whoami' is not recognized as an internal or external command,
operable program or batch file.

2.
моя доменная учетка в виде domain\user

3.
моя доменная учетка в виде domain\user

4.
Msg 18452, Level 14, State 1, Server GC0050V7, Line 1
Login failed. The login is from an untrusted domain and cannot be used with Wind
ows authentication.
1 авг 13, 12:25    [14647844]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74925
win auth,

автор
4.
Msg 18452, Level 14, State 1, Server GC0050V7, Line 1
Login failed. The login is from an untrusted domain and cannot be used with Wind
ows authentication.


А нет ли проблем с коммуникацией с Вашего компа на контроллер домена?
1 авг 13, 12:39    [14647937]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
invm
Member

Откуда: Москва
Сообщений: 9633
http://support.microsoft.com/kb/926642
?
1 авг 13, 12:42    [14647960]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
pkarklin
win auth,

автор
4.
Msg 18452, Level 14, State 1, Server GC0050V7, Line 1
Login failed. The login is from an untrusted domain and cannot be used with Wind
ows authentication.


А нет ли проблем с коммуникацией с Вашего компа на контроллер домена?


думаю что нет.
у меня сделан Linked Server к AD, работает.
и потом, я отмапила все группы, что вижу в базе,
где я db_owner на рабочем сервере (18 штук).
и именно с помощью своего сервера, где я админ,
я узнала, в какие виндовские группы я вхожу.
потому что
xp_logininfo 'esp\ee25989', 'all'

мне показывает всего 4 группы.
где он их берет, если не с контроллера домена?
1 авг 13, 13:01    [14648144]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3348
win auth
где он их берет, если не с контроллера домена?
В локальном кэше на вашем компе.

Честно говоря, мне тоже кажется, что проблема либо в работе AD, либо качестве связи с контроллером, либо в AD-шной учетной записи вашего компьютера кто-то зарезал какие-то права.
1 авг 13, 13:07    [14648168]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
Ennor Tiegael
win auth
где он их берет, если не с контроллера домена?
В локальном кэше на вашем компе.



а скажите, как этот кэш почистить.
тогда же по идее вообще перестанет меня пускать по доменной учетке,
по любому протоколу
1 авг 13, 13:15    [14648224]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
invm
Member

Откуда: Москва
Сообщений: 9633
Ennor Tiegael
Честно говоря, мне тоже кажется, что проблема либо в работе AD, либо качестве связи с контроллером, либо в AD-шной учетной записи вашего компьютера кто-то зарезал какие-то права.
Почему тогда на LPC и NP все ок?
1 авг 13, 13:30    [14648315]     Ответить | Цитировать Сообщить модератору
 Re: SSPI handshake failed with error code 0x8009030c  [new]
win auth
Guest
invm
http://support.microsoft.com/kb/926642
?


попробовала сделать, как тут описано, создала DisableLoopbackCheck со значением 1 в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
перегрузила комп, все то же самое.
у меня win xp sp3, если что
1 авг 13, 13:43    [14648432]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2 3   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить