Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Linked server с виндовой авторизацией  [new]
STsarionov
Member

Откуда:
Сообщений: 105
Доброго всем дня.
Проблема такая: есть 2 sql сервера (2012 sp2), работают под разными учетками. К примеру server1 под учеткой domen\srvsvc1 и server2 под учеткой domen\srvsvc2.
Авторизация только виндовая.
Необходимо организовать линкед сервер с server1 на server2.
Создаю линкед, он работает только если я с ним работаю непосредственно с server1. При попытках работы с ним с любого другого места, получаю ошибку Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'. (Microsoft SQL Server, Error: 18456).
Поискал в интернете, нашел, что это может быть связано с SPN именами, привел все spn имена к нужному виду, но всеравно не пашет.
Может кто-то на простом русском для не особо гениев пояснить как надо и где настроить, чтобы оно работало? Не особо понимаю что куда и как делегируется в данном случае и как должно.
Заранее спасибо за помощь.
8 июл 14, 09:13    [16273055]     Ответить | Цитировать Сообщить модератору
 Re: Linked server с виндовой авторизацией  [new]
Glory
Member

Откуда:
Сообщений: 104751
STsarionov
привел все spn имена к нужному виду, но всеравно не пашет.

Значит неправильно привели
http://blogs.technet.com/b/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx
http://technet.microsoft.com/en-us/library/dbb9141d-ce8d-48be-9ed1-9142beb51652

Сообщение было отредактировано: 8 июл 14, 10:00
8 июл 14, 10:00    [16273242]     Ответить | Цитировать Сообщить модератору
 Re: Linked server с виндовой авторизацией  [new]
a_voronin
Member

Откуда: Москва
Сообщений: 4893
Glory
STsarionov
привел все spn имена к нужному виду, но всеравно не пашет.

Значит неправильно привели
http://blogs.technet.com/b/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx
http://technet.microsoft.com/en-us/library/dbb9141d-ce8d-48be-9ed1-9142beb51652


Расшифрую. Ключевой термин связанный с данной проблемой "Kerberos Double Hop". Что это значит.

Если вы, например, запускаете запрос из под учетки пользователя А, а этот запрос лезет на сервер Б, а тот может ещё лезет на сервер B, то чтобы сработала аутентификация вам надо добиться, чтобы контекст авторизации (в данном случае контекст авторизации Windows) был прокинут с сервера А на сервер Б, а потом на сервер В. Это возможно лишь если вы используете протокол Kerberos.

Могу привести более сложный пример:

Вы обращаетесь на SharePoint, на нём лежит отчет, отчёт лезет в OLAP-куб, OLAP куб лезел напрямую в БД (ROLAP), а этот запрос лезет через Linked Server еще куда-то, что факт проброса учётки на каждом шаге называется "Kerberos Double Hop".

Если вы не можете настроить "Kerberos Double Hop" вам придётся вручную прописывать логины всех возможных пользователей в Linked Server.
8 июл 14, 13:38    [16275001]     Ответить | Цитировать Сообщить модератору
 Re: Linked server с виндовой авторизацией  [new]
STsarionov
Member

Откуда:
Сообщений: 105
a_voronin
Glory
пропущено...

Значит неправильно привели
http://blogs.technet.com/b/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx
http://technet.microsoft.com/en-us/library/dbb9141d-ce8d-48be-9ed1-9142beb51652


Расшифрую. Ключевой термин связанный с данной проблемой "Kerberos Double Hop". Что это значит.

Если вы, например, запускаете запрос из под учетки пользователя А, а этот запрос лезет на сервер Б, а тот может ещё лезет на сервер B, то чтобы сработала аутентификация вам надо добиться, чтобы контекст авторизации (в данном случае контекст авторизации Windows) был прокинут с сервера А на сервер Б, а потом на сервер В. Это возможно лишь если вы используете протокол Kerberos.

Могу привести более сложный пример:

Вы обращаетесь на SharePoint, на нём лежит отчет, отчёт лезет в OLAP-куб, OLAP куб лезел напрямую в БД (ROLAP), а этот запрос лезет через Linked Server еще куда-то, что факт проброса учётки на каждом шаге называется "Kerberos Double Hop".

Если вы не можете настроить "Kerberos Double Hop" вам придётся вручную прописывать логины всех возможных пользователей в Linked Server.


я бы с радостью прописал всех пользователей, если бы была SQL авторизация, но у нас исключительно виндовая. А настроить и правда не получается..даже на виртуалках собрали типовой макет по статье, на которую дали ссылку, та же ошибка, не делегирует он права.
8 июл 14, 15:50    [16276116]     Ответить | Цитировать Сообщить модератору
 Re: Linked server с виндовой авторизацией  [new]
Glory
Member

Откуда:
Сообщений: 104751
STsarionov
не делегирует он права.

Конечно, всегда виноват кто-то другой
8 июл 14, 15:52    [16276146]     Ответить | Цитировать Сообщить модератору
 Re: Linked server с виндовой авторизацией  [new]
a_voronin
Member

Откуда: Москва
Сообщений: 4893
STsarionov
a_voronin
пропущено...


Расшифрую. Ключевой термин связанный с данной проблемой "Kerberos Double Hop". Что это значит.

Если вы, например, запускаете запрос из под учетки пользователя А, а этот запрос лезет на сервер Б, а тот может ещё лезет на сервер B, то чтобы сработала аутентификация вам надо добиться, чтобы контекст авторизации (в данном случае контекст авторизации Windows) был прокинут с сервера А на сервер Б, а потом на сервер В. Это возможно лишь если вы используете протокол Kerberos.

Могу привести более сложный пример:

Вы обращаетесь на SharePoint, на нём лежит отчет, отчёт лезет в OLAP-куб, OLAP куб лезел напрямую в БД (ROLAP), а этот запрос лезет через Linked Server еще куда-то, что факт проброса учётки на каждом шаге называется "Kerberos Double Hop".

Если вы не можете настроить "Kerberos Double Hop" вам придётся вручную прописывать логины всех возможных пользователей в Linked Server.


я бы с радостью прописал всех пользователей, если бы была SQL авторизация, но у нас исключительно виндовая. А настроить и правда не получается..даже на виртуалках собрали типовой макет по статье, на которую дали ссылку, та же ошибка, не делегирует он права.


Настраивать надо на уровне Active Directory, с правами доменного админа, согласно инструкции выше.

http://technet.microsoft.com/en-us/library/dbb9141d-ce8d-48be-9ed1-9142beb51652

Могу сказать, что на проекте, в котором я участвовал год назад, это было успешно сделано.
8 июл 14, 17:33    [16276947]     Ответить | Цитировать Сообщить модератору
 Re: Linked server с виндовой авторизацией  [new]
STsarionov
Member

Откуда:
Сообщений: 105
спасибо за помощь. очень помогли.
не делегировалось, потому что в упор не хотела эта схема работать с именованными инстансами, в итоге поставил конкретный порт в SPN и заработало.
9 июл 14, 17:41    [16282735]     Ответить | Цитировать Сообщить модератору
 Re: Linked server с виндовой авторизацией  [new]
Glory
Member

Откуда:
Сообщений: 104751
STsarionov
в итоге поставил конкретный порт в SPN и заработало.

А до этого интересно вы какой порт ставили ?
9 июл 14, 18:22    [16282962]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить