캐시 된 자격 증명을 사용하여 도메인 경계를 넘어 SQL 2005에 연결

Question

SSMS와 같은 클라이언트 도구에서 DMZ 활성 디렉터리 도메인의 SQL Server에 연결 한 후 얼마 전에 Vista로 이동 한 이후로 익숙하지 않았습니다. . XP에서는 어떤 방식 으로든 서버에서 인증을 받으면 (예 : Explorer를 \ server.dmzdomain \ c $로 지정하고 유효한 cred를 로그인 프롬프트에 입력하는 경우) SSMS는 캐시 된 자격 증명을 사용하여 연결합니다.

Vista로 전환 한 후 SSMS를 DMZ 도메인의 서버에 연결하려고하면 메시지가 나타납니다. 사용자가 로그인하지 못했습니다. 사용자가 신뢰할 수있는 SQL Server 연결과 연결되어 있지 않습니다. 기본 TCP/IP 대신 명명 된 파이프를 사용하도록 연결 옵션을 변경하면 캐시 된 자격 증명이 전송되고 모든 것이 올바르게 작동합니다. 이것은 Windows 방화벽이 꺼져 있든 없든, 내부 도메인 (my dev PC가있는 동일한 도메인)의 서버에 TCP/IP 또는 명명 된 파이프를 통해 잘 작동하는지 여부입니다.

해결 방법으로 이러한 연결에 명명 된 파이프를 사용하는 것을 신경 쓰지 않지만 TCP/IP가 권장되는 연결 방법 인 것처럼 보이며 예상대로 작동하지 않는 이유를 이해하지 못하는 것 같습니다. . 어떤 아이디어?

Answer 1

SSMS를 상승 모드로 실행 해 보았습니까? 클라이언트에 최신 SP가 설치되어 있습니까?

Answer 2

Vista는 대부분의 응용 프로그램을 다른 응용 프로그램과 분리하여 실행한다고 가정합니다.

내부 도메인 사용자 이름과 암호와 일치하도록 DMZ 사용자 이름과 암호를 설정하거나 명명 된 파이프를 사용하여 연결하는 것이 좋습니다.

Answer 3

"사용자가 로그인하지 못했습니다. '사용자가 신뢰할 수있는 SQL Server 연결과 연결되어 있지 않습니다."

이 시나리오에서 클라이언트는 로컬 관리자 또는 관리자가 아닌 컴퓨터 계정에서 실행되는 tcp connetion을 만들 수 있습니다. SPN이 등록되어 있더라도 클라이언트 자격 증명은 SQL Server에서 분명히 인식되지 않습니다.

해결 방법은 여기에 있습니다 :

대상 SQL Server 시스템에 동일한 암호를 사용하여 클라이언트 시스템의 하나로서 동일한 계정을 만들고 계정에 적절한 권한을 부여합니다. 당신은 본질적으로 연결, 같은 NT 계정을 만들 때

모두 워크 스테이션 (현실을 USR1 부르 자) 및 연결 스테이션의 로컬 계정을 가장 :

은의 자세한 내용을 설명해 보자. 즉, station1에서 station2로 연결하면 station2의 계정을 통해 인증됩니다. 따라서 SQL Server 시작 계정 (station2에서 실행 중이라고 가정)이station2의 usr1로 설정되어있는 경우 station1의 usrlogin으로 station1에서 SQL에 연결할 때 SQL은 station2의 usr1로 인증합니다.

이제 SQL 내에서 station1의 자원에 확실히 액세스 할 수 있습니다. 하지만, 액세스가 많은지는 station1의 usr1 권한에 따라 달라집니다.

지금까지 SQL은 SQL Server 내의 sysadmin 역할에 속한 사용자 만 처리합니다.다른 사용자 (비 sysamdin)가 네트워크 리소스에 액세스 할 수있게하려면 프록시 계정을 설정해야합니다. 에 대한 추가 정보를 살펴보십시오. 을 http://blogs.msdn.com/sql_protocols/archive/2006/12/02/understanding-kerberos-and-ntlm-authentication-in-sql-server-connections.aspx