Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Cross-Forest OPENROWSET  [new]
MMax
Member

Откуда:
Сообщений: 5
Конфигурация:

UsersDomain.local - Домен с пользователями
Master.UsersDomain.local - Домен-контроллер Win 2012 Standard
User-01@UsersDomain.Local - Основной пользователь

ResourcesDomain.local - Ресурсный домен
Master-Res.ResourcesDomain.local - Домен-контроллер Win 2012 Standard
MSSQL-01@ResourcesDomain.local - Учетная запись, под которой запускается SQL Server. SPN зарегистривано. Delegation стоит в положении "Trust this user for delegation to any service (kerberos only)"
TestUser-01@ResourcesDomain.local - Пользователь в ресурсном домен (тестовый)
ResourceFullControlGroup - Группа (Domain local) в ресурсном домене в которою входят User-01@UsersDomain.Local, TestUser-01@ResourcesDomain.local

TS.ResourcesDomain.local - Терминальный сервер Win 2012 R2 в ресурсном домене на который заходят пользователи из группы ResourceFullControlGroup.
DbServer.ResourcesDomain.local - Сервер БД в ресурсном домене Win 2012 R2/SQL 2012 SP3
FileServer.ResourcesDomain.local - Файловый сервер Win 2012 R2 в ресурсном домене
\\FileServer.ResourcesDomain.local\Files\data1.mdb - данные для импорта, полный сетевой/локальный доступ к папке/файлу имеет группа ResourceFullControlGroup.

Домены в разных лесах. Между ними установленый Trust (Two-way: Users in the local domain can authenticate in the specified domain and users in the specified domain can authenticate in the local domain.; This trust is not transitive. Only users from the directly trusted domain may authenticate in the trusting domain.)

Provider Microsoft.ACE.OLEDB.12.0 настроен: Allow inprocess, Dynamic parameter, Ad hoc access (в т.ч. и в реестре), на папку Temp Full Control to Everyone.

Пользователи запускают с TS.ResourcesDomain.local с подключением на DbServer.ResourcesDomain.local по TCP запрос вида:
SELECT * FROM FROM OPENROWSET('Microsoft.ACE.OLEDB.12.0', '\\FileServer.ResourcesDomain.local\Files\data1.mdb';'Admin';, 'SELECT * FROM Table1');


Под пользователем из ресурсного домена TestUser-01@ResourcesDomain.local запрос выполняется без проблем. sys.dm_exec_connections показывает auth_scheme "KERBEROS" - Delegation срабатывает - ВСЁ РАБОТАЕТ.

Под пользователем из "пользовательского" домена User-01@UsersDomain.local выдает ошибку: "OLE DB provider "Microsoft.ACE.OLEDB.12.0" for linked server "(null)" returned message "The Microsoft Access database engine cannot open or write to the file '\\FileServer.ResourcesDomain.local\Files\data1.mdb'. It is already opened exclusively by another user, or you need permission to view and write its data.". sys.dm_exec_connections показывает auth_scheme "NTLM", в результате DbServer пробует подключатся к FileServer по NTLM под пользоватилем "ANONYMOUS LOGON" который не имеет прав.


ВОПРОС: Как заставить работать эту топологию для пользователей "пользовательского" домена или хотя-бы заставить их подключатся к SQL по KERBEROS?
14 янв 16, 02:37    [18675865]     Ответить | Цитировать Сообщить модератору
 Re: Cross-Forest OPENROWSET  [new]
Glory
Member

Откуда:
Сообщений: 104751
http://blogs.msdn.com/b/besidethepoint/archive/2010/05/09/double-hop-authentication-why-ntlm-fails-and-kerberos-works.aspx
https://blogs.msdn.microsoft.com/sql_protocols/2006/12/02/understanding-kerberos-and-ntlm-authentication-in-sql-server-connections/
14 янв 16, 09:51    [18676301]     Ответить | Цитировать Сообщить модератору
 Re: Cross-Forest OPENROWSET  [new]
MMax
Member

Откуда:
Сообщений: 5
Glory,

Спасибо за ссылки они помогли мне еще раньше настроить хозяйство внутри одного домена, еще больше помогла http://blog.it-kb.ru/2011/04/10/sql-server-spn-service-principal-name/ - описано пошагово с картинками какую галочку где поставить.

Что-бы заработало для пользователей из другого леса оказалось
two way transitive trust is required for Kerb to work


PS: Тут ещё нашел полезную статью с детальными картинками "на все случаи жизни" по Kerberos:
https://jorgequestforknowledge.wordpress.com/2015/11/08/kerberos-constrained-delegation-kcd-visualized-the-easy-way/

Еще одна интересная ссылка по связке "SQL - File server":
https://social.technet.microsoft.com/Forums/en-US/77b6682b-6bac-4b95-98b7-b792212ca8e1/help-needed-with-kerberos-constrained-delegation
15 янв 16, 19:42    [18686376]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить