Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3 4   вперед  Ctrl      все
 Re: Подключение к серверу не из домена  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
aleks2
Я всего лишь утверждаю, что авторизация с компьютера, не входящего в домен, по "протоколу TCP/IP" (это тот протокол, который поименован так в настройках сервера и клиента MS SQL) НЕВОЗМОЖНА.
Т.е. Windows-аутентификация по TCP/IP в SQL Server вне домена невозможна?
5 сен 14, 18:10    [16541985]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
o-o
Guest
граждане, а помогите мне это настроить.
у меня как раз имеется проблема: на компе соседа подпольно установлен Экспресс,
но я к нему подключаюсь только с SQL Server Authentication, с виндовой пишет, что из non trusted domain
(хотя мы все в одном домене)

сейчас пытаюсь сделать, как вы тут описали, но ошибка все та же.
а по пайпам вообще не доходит, долго думает и пишет (завешу в след.посте)
что сделано: мой комп GC0050V7, заведен локальный пользователь SUPPORT_75
соседский комп GC005176, заведен пользователь SUPPORT_75 с тем же паролем,
добавлен как логин на том сервере: FROM WINDOWS и сделан админом.
1. что неправильно с TCP/IP
2. что неправильно с NAMED PIPES (я из студии подключаюсь и указываю NP:GC005176\EXPRESS_N2
а может к пайпам не так надо обращаться? экземпляр именованный)

К сообщению приложен файл. Размер - 10Kb
5 сен 14, 18:43    [16542153]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
o-o
Guest
с пайпами вообще труба, видно, что не находит.
обращаюсь поди неправильно

К сообщению приложен файл. Размер - 12Kb
5 сен 14, 18:45    [16542167]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
o-o,

А студия под какой учеткой запущена?
5 сен 14, 19:03    [16542245]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
o-o
Guest
все под тем же GC0050V7\SUPPORT_75,
я вообще делаю себе LOG OFF и захожу под GC0050V7\SUPPORT_75.
а достаточно было всего лишь студию запустить от имени GC0050V7\SUPPORT_75??? -- я торможу.
сейчас запущу вторую студию не отлогиниваясь
5 сен 14, 19:08    [16542267]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
А если машины в одном домене, то зачем делать через локальный логин?
5 сен 14, 19:14    [16542298]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
o-o
Guest
invm,

вы если ответите, а я уже сегодня не смогу попробовать, в понедельник утром сделаю, ок?
утром у меня контроль над соседским компом (пока нет соседа), а вечером уже проблематично.
на том сервере все протоколы разрешены, браузер запущен, remote connections тоже разрешены,
и вообще туда я попадаю под sa.
+ созданный пользователь еще и локальный админ того компа на всякий случай
5 сен 14, 19:14    [16542302]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
o-o
Guest
invm
А если машины в одном домене, то зачем делать через локальный логин?

еще спросите, зачем устанавливать SQL Server на соседский комп, когда на своем стоят уже 4
для экспериментов, конечно!
чтобы быть админом и на чужом компе тоже.
["и" означает админ на своем, не на рабочем же :( ]
сосед включает комп, сервер автоматически стартует.

+ еще и никак не пойму, почему не попадаю туда под виндовой учеткой, хотя мы все в одном домене.
что-то у них в домене не как у людей...
5 сен 14, 19:19    [16542326]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
o-o,

Первым делом нужно проверить доступность расшаренных ресурсов удаленной машины локальному пользователю.
И было бы неплохо узнать какой State у ошибки 18452.
5 сен 14, 19:24    [16542345]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
o-o
еще и никак не пойму, почему не попадаю туда под виндовой учеткой, хотя мы все в одном домене.
Кроме создания логина на сиквеле для вашей учетки, у нее еще должно быть разрешение логиниться на той машине.
5 сен 14, 19:26    [16542362]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
o-o
Guest
invm
o-o,

Первым делом нужно проверить доступность расшаренных ресурсов удаленной машины локальному пользователю.
И было бы неплохо узнать какой State у ошибки 18452.


статус в понедельник посмотрю и напишу, а про ресурсы:
я неправильно что-ли понимаю, что он должен перестать различать локального и удаленного пользователей?
смысл-то создавать их одноименными и с тем же самым паролем разве не чтобы он их "не различил"?
на удаленном этот пользователь входит в группу локальных администраторов,
т.е. вроде ему все доступно.
а как что-то делать доступным ТАМ локальному пользователю МОЕГО компа -- я вообще не понимаю, объясните пожалуйста.
и что именно должно быть расшарено? на том компе ничего не расшарено вообще.
5 сен 14, 22:04    [16543014]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
o-o
я неправильно что-ли понимаю, что он должен перестать различать локального и удаленного пользователей?
o-o
а как что-то делать доступным ТАМ локальному пользователю МОЕГО компа -- я вообще не понимаю, объясните пожалуйста.
Немного не так. Аутентификация всегда производится по логину и паролю. Только в случае домена аутентифицирует контроллер домена и область действия учетки весь домен.
А когда домена нет, каждая машина сама аутентифицирует удаленного клиента и, соответственно, аутентифицированная учетка действует только локально в пределах назначенных ей прав. Можете рассматривать этот процесс как автоматическую имперсонацию удаленной учетки в одноименную локальную.
6 сен 14, 00:22    [16543337]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
X-Cite
чтобы я не вводил логин и пароль доменный
Есть интересный способ, но только для Win7 и выше. С помощью Credential Manager (проживает в Control Panel\User Accounts and Family Safety\Credential Manager).

Запустите панель управления от имени учетки, под которой работает ваша служба.
В Credential Manager добавьте Windows credential, указав имя или адрес сервера и реквизиты доменной учетки. Теперь служба сможет соединяться с сиквелом по NP от имени доменной учетки.
Если добавите еще один credential, указав сервер в нотации имя:порт или адрес:порт, то сможете соединяться и по TCP.
6 сен 14, 17:54    [16544321]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
aleks2
Guest
[quot invm]
X-Cite
Если добавите еще один credential, указав сервер в нотации имя:порт или адрес:порт, то сможете соединяться и по TCP.


Умора. И жуткая безграмотность.
С какой радости порт даcт возможность аутентификации?
7 сен 14, 10:17    [16545726]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
aleks2
Умора. И жуткая безграмотность.
С какой радости порт даcт возможность аутентификации?
Вместо постоянных попыток всенепременно "опустить" оппонента, посмевшего усомниться в абсолютной истинности твоих голословных утверждений, лучше попытайся осознать на что именно влияет указание порта в resource path.
Ну и, как и было предложено ранее, изучи как применяется SSPI при аутентификации по TCP/IP и когда для этого необходимо доменное окружение, а когда нет. Тогда может и перестанешь писать глупости...

ЗЫ: Что-то мне подсказывает, что в ответ я не получу ничего, кроме обычного хамства
7 сен 14, 13:19    [16545920]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
aleks2
Guest
invm
aleks2
Умора. И жуткая безграмотность.
С какой радости порт даcт возможность аутентификации?
Вместо постоянных попыток всенепременно "опустить" оппонента, посмевшего усомниться в абсолютной истинности твоих голословных утверждений, лучше попытайся осознать на что именно влияет указание порта в resource path.
Ну и, как и было предложено ранее, изучи как применяется SSPI при аутентификации по TCP/IP и когда для этого необходимо доменное окружение, а когда нет. Тогда может и перестанешь писать глупости...

ЗЫ: Что-то мне подсказывает, что в ответ я не получу ничего, кроме обычного хамства


1. Осознай простую истину: trusted connection (SSPI) возможно только в домене (али лесе доверяющих доменов). Ибо trusted connection = делегирование учетных данных = домен.
2. Указание порта абсолютно бессмыслено (с точки знения аутентификации) и заменяет только неработающий SQL Browser на сервере к которому подключается. Что совсем другая проблема.
3. Перестань надувать щеки. И вешать публике лапшу на уши.
4. Вне домена (или домен-НЕдомен или домен-другой домен) подключение с Win-аутентификацией возможно только по NamedPipes.

http://support.microsoft.com/kb/811889/ru
Интерфейс SSPI используется только для подключений по протоколу TCP/IP. Для создания подключений требуется проверка подлинности Windows. (Проверка подлинности Windows также называется доверенными подключениями или интегрированной безопасностью.) Интерфейс SSPI не используется именованными каналами (Named Pipes) или если подключение поддерживает несколько протоколов.
7 сен 14, 14:34    [16545992]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
Гавриленко Сергей Алексеевич
Member

Откуда:
Сообщений: 37254
Модератор: Граждане отвечающие.
Ведите себя, пожалуйста, дружно.
Спасибо.
7 сен 14, 17:16    [16546254]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
Ну что ж, поехали...
aleks2
1. Осознай простую истину: trusted connection (SSPI) возможно только в домене (али лесе доверяющих доменов). Ибо trusted connection = делегирование учетных данных = домен.
trusted connection - это не SSPI, а параметр строки соединения для Native Client, означающий использование Windows-аутентификации. Если ты имел в виду термин времен SQL 6.5 и 7.0, то там он тоже обозначал Windows-аутентификацию.
А вот сама Windows-аутентификация осуществляется посредством SSPI.
Что такое SSPI можно узнать тут и тут
Какой SSP будет выбран для аутентификации можно узнать тут и тут
Если внимательно ознакомишься с предложенным материалом, то поймешь как и почему можно соединяться с SQL Server по TCP с использованием Windows-аутентификации вне домена.
Причем тут делегирование вообще не ясно, т.к. для оного требуется не менее трех участников. Так что будь любезен дать пруфлинк.
aleks2
2. Указание порта абсолютно бессмыслено (с точки знения аутентификации) и заменяет только неработающий SQL Browser на сервере к которому подключается. Что совсем другая проблема.
Ты так и не удосожился понять о чем же идет речь. Перечитай внимательно 16544321 - может дойдет.
aleks2
3. Перестань надувать щеки. И вешать публике лапшу на уши.
Ну пока что означенными действиями в этой теме занимаешься только ты.
aleks2
4. Вне домена (или домен-НЕдомен или домен-другой домен) подключение с Win-аутентификацией возможно только по NamedPipes.
Очередное утверждение из серии "это так потому что я так сказал". Хотелось бы увидеть пруфлинк.
aleks2
http://support.microsoft.com/kb/811889/ru
Интерфейс SSPI используется только для подключений по протоколу TCP/IP. Для создания подключений требуется проверка подлинности Windows. (Проверка подлинности Windows также называется доверенными подключениями или интегрированной безопасностью.) Интерфейс SSPI не используется именованными каналами (Named Pipes) или если подключение поддерживает несколько протоколов.
И? Зачем приводить выдернутую из контекста цитату? Все и так знают, что по пайпу можно прозрачно передавать аутентификационные данные.

Самое забавное, что уже давно (еще пару лет назад) можно было бы потратить несколько минут и проверить обсуждаемый вопрос на практике...
7 сен 14, 21:28    [16547027]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
aleks2
Guest
invm
Ну что ж, поехали...

1. Цитаты надо читать.
"Интерфейс SSPI не используется именованными каналами (Named Pipes)"

2. Я проверял - не работает авторизация по TCP/IP вне домена.

3. >>"Перечитай внимательно 16544321 - может дойдет."
Глупенький, это всего лишь способ ввести имя и пароль, когда их спрашивают. Никакого отношения к SSPI не имеющий. При trusted connection пароль НЕ спрашивают.


ЗЫ. Я подозреваю, что ваши "опыты" по подключеню извне домена к серверу MS SQL производились при доступном протоколе NamedPipes. А отличить подключение по NamedPipes от TCP/IP ты просто не умеешь.

Один этот пассаж явно показывает полное непонимание процесса.
>>Все и так знают, что по пайпу можно прозрачно передавать аутентификационные данные.
Хе-хе.
8 сен 14, 06:02    [16547712]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
o-o
Guest
у меня воз и ныне там, ни по пайпам, ни по TCP не проходит.
по пайпам не доходит вообще, в логе по этому поводу пусто.
вот обещанный state от 18452:
Message
Login failed. The login is from an untrusted domain and cannot be used with Windows authentication. [CLIENT: 10.69.98.0]


и перед этим ошибка:
Message
Error: 17806, Severity: 20, State: 14.

Message
SSPI handshake failed with error code 0x8009030c, state 14 while establishing a connection with integrated security; the connection has been closed. Reason: AcceptSecurityContext failed. The Windows error code indicates the cause of failure. [CLIENT: 10.69.98.0].


что еще проверить/включить, почему по пайпам не проходит?
все включено и в логе написано:
Message
Server named pipe provider is ready to accept connection on [ \\.\pipe\MSSQL$EXPRESS_N2\sql\query ].

надо как-то не так обращаться?
8 сен 14, 11:17    [16548410]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
aleks2
1. Цитаты надо читать.
"Интерфейс SSPI не используется именованными каналами (Named Pipes)"
Цитаты нужно приводить, относящиеся к теме обсуждения. Твоя же никак не отвечает на вопрос "почему нельзя соединяться по TCP c Win-аутентификацией вне домена?"
Лучше приведи пруфлинки для своих утверждений:
aleks2
Осознай простую истину: trusted connection (SSPI) возможно только в домене (али лесе доверяющих доменов). Ибо trusted connection = делегирование учетных данных = домен.
aleks2
Вне домена (или домен-НЕдомен или домен-другой домен) подключение с Win-аутентификацией возможно только по NamedPipes
А то аргументы в стиле "я так сказал", "ты безграмотен" и т.п. не прокатывают. Так же было бы неплохо услышать пояснения как работает сие чудо - 16539552

aleks2
Я проверял - не работает авторизация по TCP/IP вне домена.
Ну если руки кривые, что ж тут поделать... (Уж извини, но такой ответ ты вполне заслужил. В соответствии с 3-им законом Ньютона)

aleks2
Глупенький, это всего лишь способ ввести имя и пароль, когда их спрашивают. Никакого отношения к SSPI не имеющий. При trusted connection пароль НЕ спрашивают.
Перечитай еще раз и попытай осознать что же на самом деле там делается и для чего.

aleks2
Я подозреваю, что ваши "опыты" по подключеню извне домена к серверу MS SQL производились при доступном протоколе NamedPipes. А отличить подключение по NamedPipes от TCP/IP ты просто не умеешь.
Не считай оппонета глупее себя и не хами ему. Тогда он тоже будет тебя уважать и отвечать соответственно.
8 сен 14, 12:31    [16548932]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
X-Cite
Member

Откуда: Минск
Сообщений: 1838
o-o
у меня воз и ныне там, ни по пайпам, ни по TCP не проходит.
по пайпам не доходит вообще, в логе по этому поводу пусто.
вот обещанный state от 18452:
Message
Login failed. The login is from an untrusted domain and cannot be used with Windows authentication. [CLIENT: 10.69.98.0]


и перед этим ошибка:
Message
Error: 17806, Severity: 20, State: 14.

Message
SSPI handshake failed with error code 0x8009030c, state 14 while establishing a connection with integrated security; the connection has been closed. Reason: AcceptSecurityContext failed. The Windows error code indicates the cause of failure. [CLIENT: 10.69.98.0].


что еще проверить/включить, почему по пайпам не проходит?
все включено и в логе написано:
Message
Server named pipe provider is ready to accept connection on [ \\.\pipe\MSSQL$EXPRESS_N2\sql\query ].

надо как-то не так обращаться?

На клиенте запусти cliconfg.exe в Run...
Включи именованные каналы и параметры корректно укажи...
8 сен 14, 12:40    [16548996]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
o-o
вот обещанный state от 18452
Имелся в виду числовой код.
o-o
[CLIENT: 10.69.98.0]
Очень странный IP-адрес. Если не секрет, покажите результат ipconfig /all вашего компа.
o-o
что еще проверить/включить
Первым делом нужно залогиниться или запустить cmd от имени локального пользоваться и убедиться, что
net view \\ДругойКомп
выполняется без ошибок.
8 сен 14, 12:43    [16549016]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
aleks2
Guest
X-Cite
На клиенте запусти cliconfg.exe в Run...
Включи именованные каналы и параметры корректно укажи...

Я гляжу, у тредстартера таки проканало.

На сем я завершаю бесплодную дискуссию. Адью.
8 сен 14, 13:05    [16549206]     Ответить | Цитировать Сообщить модератору
 Re: Подключение к серверу не из домена  [new]
o-o
Guest
invm,
Error: 18452, Severity: 14, State: 1.

далее, хоть под доменной учеткой, хоть под локальной:
C:\Documents and Settings\ee25989>net view \\gc005176
System error 5 has occurred.

Access is denied.

ipconfig от моего на картинке
от соседского надо?

К сообщению приложен файл. Размер - 28Kb
8 сен 14, 13:08    [16549222]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3 4   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить