Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Public role не может подключится к серверу  [new]
Dock1100
Member

Откуда:
Сообщений: 6
Есть Ms Sql Server 2008 R2, пользователи (logins) добавлены как группа из Active Directory, состоят только в роли public, при попытке подключения к серверу(windows authentication) ошибка:
Logon Error: 18456, Severity: 14, State: 11.
Logon Login failed for user 'Domain\User'. Reason: Token-based server access validation failed with an infrastructure error. Check for previous errors. [CLIENT: 10.18.18.248]


На сервере Server Authentication : SQL Server and Windows Authentication mode
У роли public права для подключения есть.

Если пользователя добавить в роль sysadmin, то он подключится сможет; при добавлении в другие роли подключится не может.
Гуглил, не помогло.

Что нужно настроить что бы пользователи в роли public могли подключатся к серверу?
17 мар 14, 14:02    [15738152]     Ответить | Цитировать Сообщить модератору
 Re: Public role не может подключится к серверу  [new]
Glory
Member

Откуда:
Сообщений: 104760
http://sqlblogcasts.com/blogs/simons/archive/2011/02/01/solution-login-failed-for-user-x-reason-token-based-server-access-validation-failed-and-error-18456.aspx
17 мар 14, 14:18    [15738314]     Ответить | Цитировать Сообщить модератору
 Re: Public role не может подключится к серверу  [new]
Dock1100
Member

Откуда:
Сообщений: 6
Glory, не помогло.
17 мар 14, 18:52    [15740761]     Ответить | Цитировать Сообщить модератору
 Re: Public role не может подключится к серверу  [new]
o-o
Guest
у меня есть предположение, но именно вашу ошибку не удается воспроизвести...
смысл в том, что у пользователя, входящего в кучу виндовских групп,
права проверяются по совокупности.
т.е. если хоть у одной из групп есть DENY CONNECT, то на сервер он не попадет.
кроме варианта, когда он именно что sysadmin, тогда не проверяются явные DENY-и.
только вот ошибка при этом у меня вылетает другая...

но на всякий случай: проверьте группы, куда входит товарищ.
например, от его имени выполните:
select *
from sys.login_token
where principal_id > 0
17 мар 14, 18:58    [15740801]     Ответить | Цитировать Сообщить модератору
 Re: Public role не может подключится к серверу  [new]
Dock1100
Member

Откуда:
Сообщений: 6
o-o,

(когда юзер в sysadmin)
2	0x02	public	SERVER ROLE	GRANT OR DENY
3	0x03	sysadmin	SERVER ROLE	GRANT OR DENY
261	0x01010000000000050B000000	NT AUTHORITY\Authenticated Users	WINDOWS GROUP	GRANT OR DENY
263	0x01020000000000052000000021020000	BUILTIN\Users	WINDOWS GROUP	GRANT OR DENY
272	0x010500000000000515000000093A2A24131610098AA7323F01020000	MYDOMAIN\Domain Users	WINDOWS GROUP	GRANT OR DENY
272	0x010500000000000515000000093A2A24131610098AA7323F01020000	MYDOMAIN\Domain Users	WINDOWS GROUP	GRANT OR DENY
263	0x01020000000000052000000021020000	BUILTIN\Users	WINDOWS GROUP	GRANT OR DENY
261	0x01010000000000050B000000	NT AUTHORITY\Authenticated Users	WINDOWS GROUP	GRANT OR DENY
17 мар 14, 19:25    [15740938]     Ответить | Цитировать Сообщить модератору
 Re: Public role не может подключится к серверу  [new]
Dock1100
Member

Откуда:
Сообщений: 6
У NT AUTHORITY\Authenticated Users и BUILTIN\Users подключение к серверу разрешено.
17 мар 14, 19:28    [15740949]     Ответить | Цитировать Сообщить модератору
 Re: Public role не может подключится к серверу  [new]
o-o
Guest
давайте попробуем с другой стороны.
выцепим явные DENY-и:
select pr.name, pe.*
from sys.server_permissions pe join sys.server_principals pr 
        on pe.grantee_principal_id = pr.principal_id
where permission_name = 'connect sql' and state_desc = 'deny'
17 мар 14, 19:52    [15741083]     Ответить | Цитировать Сообщить модератору
 Re: Public role не может подключится к серверу  [new]
Dock1100
Member

Откуда:
Сообщений: 6
o-o,
ничего нету.
вот все дени для юзера
public	100	SERVER	0	0	2	1	ADBO	ADMINISTER BULK OPERATIONS	D	DENY
public	100	SERVER	0	0	2	1	ALAA	ALTER ANY SERVER AUDIT	D	DENY
public	100	SERVER	0	0	2	1	ALCD	ALTER ANY CREDENTIAL	D	DENY
public	100	SERVER	0	0	2	1	ALES	ALTER ANY EVENT NOTIFICATION	D	DENY
public	100	SERVER	0	0	2	1	ALHE	ALTER ANY ENDPOINT	D	DENY
public	100	SERVER	0	0	2	1	ALLG	ALTER ANY LOGIN	D	DENY
public	100	SERVER	0	0	2	1	ALLS	ALTER ANY LINKED SERVER	D	DENY
public	100	SERVER	0	0	2	1	ALRS	ALTER RESOURCES	D	DENY
public	100	SERVER	0	0	2	1	ALSS	ALTER SERVER STATE	D	DENY
public	100	SERVER	0	0	2	1	ALST	ALTER SETTINGS	D	DENY
public	100	SERVER	0	0	2	1	ALTR	ALTER TRACE	D	DENY
public	100	SERVER	0	0	2	1	CL  	CONTROL SERVER	D	DENY
public	100	SERVER	0	0	2	1	SHDN	SHUTDOWN	D	DENY
17 мар 14, 20:02    [15741147]     Ответить | Цитировать Сообщить модератору
 Re: Public role не может подключится к серверу  [new]
o-o
Guest
значит, моя догадка не катит.
не знаю еще отличий сисадмина от других для данной ситуевины,
кроме как что у него DENYи не проверяются.
если что придет в голову, поделюсь
17 мар 14, 20:12    [15741205]     Ответить | Цитировать Сообщить модератору
 Re: Public role не может подключится к серверу  [new]
invm
Member

Откуда: Москва
Сообщений: 9406
1. Ознакомьтесь с Troubleshooting Error 18456, особенно с описанием State 11.
2. У вас в результате запроса от o-o есть deny на control server.
17 мар 14, 22:44    [15741966]     Ответить | Цитировать Сообщить модератору
 Re: Public role не может подключится к серверу  [new]
Dock1100
Member

Откуда:
Сообщений: 6
invm, спасибо, помогло.
18 мар 14, 02:58    [15742621]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить