问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

“SQL network name"的私有属性“requirekerberos"设置为值“1”时出错。错误:值不在预期的范围内。

发布网友 发布时间:2022-04-14 16:51

我来回答

5个回答

懂视网 时间:2022-04-14 21:13

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38332605,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以原创形式发布,也不得已用于商业用途,本人不负责任何法律责任。 前一篇:http://b

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38332605,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。

前一篇:http://blog.csdn.net/dba_huangzj/article/details/38263043

前言:

在活动目录(Active Directory)中,有两种身份验证机制:NTLM和Kerberos。其中NTLM(NT LAN Manager)是基于旧版加密方式的授权协议,微软不建议再使用。详情可见:http://msdn.microsoft.com/en-us/library/cc236715.aspx

Kerberos是一个免费的软件协议,有MIT(麻省理工)首先开发出来,并从Windows 2000开始引入。通过secured tickets(暂时未发现专业术语)的转换对客户端和服务器进行安全识别。相对于使用哈希密码,Kerberos通过共享安全加密密钥来管理身份验证。客户端和验证服务器共享一个对称密钥,。其中验证服务器成为KDC(Key Distributor Center,密钥分发中心),并且作为域控制器的服务运行。

在登录时,客户端会从KDC中请求一个Ticket Grant Ticket (TGT) ,然后KDC创建一个包含客户端标识的TGT,并连同把带有密钥的会话返回给客户端。TGT的寿命不长,通常只有8~10小时。过时之后,客户端不能在访问资源。

服务标签(Service ticket)必须包含目标资源(如SQL Server实例)的Service Principal Name(SPN,服务主体名称)。当KDC接收到请求,会回送服务标签。这个标签会在后续用于客户端请求访问服务器之用。更多信息可以访问:http://technet.microsoft.com/en-us/library/cc772815.aspx

实现:

使用Kerberos,需要在域环境中,并且服务器的SPN必须已经注册到Active Directory。如果满足这些条件,那么Kerberos应该默认已经使用,可以在SQL Server中检查:

SELECT auth_scheme, net_transport, client_net_address FROM sys.dm_exec_connections;

image

如果连接是来自同一个域或者使用NTLM授权的可信任域,需要研究为什么没有使用Kerberos。当SQL Server启动时,会尝试自动注册自己的SPN到Active Directory中,如果SQL Server服务帐号没有权限,那么SPN就不能创建,并且Kerberos授权也将不能使用。

检查SPN是否已经注册,可以在cmd或者PowerShell中输入下面的命令:

setspn.exe -L DOMAIN

本人环境下如图:

image

应该要看到其中一个信息:

MSSQLSvc/SQL-A.Contoso.com:1433 --格式为:MSSQLSvc/.<域名>.com:<端口号>

检查上图可见没有这个信息,证明没有成功,所以再上一个图的结果周鞥只有NTLM授权。通常是因为这个帐号没有"write public information" 权限。默认情况下,SQL Server服务帐号如果是一个域用户安装的,将没有这个权限。

现在把SQL Server服务帐号换成域管理员,再次检查可见已经得到期待结果了:

image

如果发现没有注册SPN,可以使用下面步骤实现:

1. 在域控制器的【管理工具】中,选择【ADSI 编辑器】:

image

2.连接到【默认命名上下文】,查找服务帐号并且右键【属性】,然后选择【安全】页:

image

3. 对SELF授予【写入 公共 信息】,并重启SQL Server服务:

image

注意,本机是用contosomirroradmin安装和运行的,所以这里选择这个帐号授权。授权完毕之后,再次查询,可以见到已经有Kerberos连进了了。

image

原理:

SPN是实例的唯一标识,没有合适的SPN,Kerberos不能验证一个服务并提供服务标签来允许客户端访问。所以如果没有SPN,客户端唯一能用的验证方式是NTLM,而SPN必须安装在活动目录,并且有KDC角色。

SPN的固定格式:/:。其中host是完全合格域名(Fully Qualified Domain Name ,FQDN)。

更多信息:

如果不想授予【写入公共信息】到AD上,或者某些原因SPN不能注册,可以手动执行下面语句创建:

setspn.exe -A MSSQLSvc/SQL-A.Contoso.com: ContosoSQL-A --其中SQL-A是机器名,contoso是域名

对于Kerberos问题侦测可以阅读下面文章:

http://blogs.technet.com/b/askds/archive/2008/05/14/troubleshooting-kerberos-authentication-problems-name-resolution-issues.aspx

热心网友 时间:2022-04-14 18:21

核心提示:解决:SQL2008错误提示,将资源"SQL Network Name(myzyyserver)"的私有属性"RequireKerberos"设置为值"1"时出错。错误:值不在预期的范围内。
错误提示,将资源"SQL Network Name(myzyyserver)"的私有属性"RequireKerberos"设置为值"1"时出错。错误:值不在预期的范围内。

原因:sql server 2008安装盘中没有集成SP1补丁。
解决方法:
红体为关键执行步骤
我们建议您选用该方法来针对多台计算机或大型部署运行修补安装程序,或在管理员需要使用户可获得此修补安装程序时选用该方法。建议您在使其他用户可选用此方法前进行充分测试。以下情况支持选用此方法:
原始媒体和 Service Pack
原始媒体、Service Pack 及累积更新
下载要用来更新原始媒体文件的 Service Pack 和可选的基于 Service Pack 的累积更新。由于原始媒体包含针对各个平台的文件,因此必须下载针对所有平台(x86、x64 和 IA-64)的 Service Pack ??更新。例如,必须下载合并原始媒体和 Service Pack 的三个包,或者下载合并原始媒体、Service Pack 和累积更新的六个包。
对于每个包,请通过在命令提示符下运行以下脚本来解压缩包中的内容:
<PCU 或 CU 包的名称>.exe /x:<解压缩到的根路径>\<PCU | CU>
注意:
包的名称为以下形式:
PCU: SQLServer2008SP1-<知识库文章>-<架构>-<语言>.exe
CU: SQLServer2008SP1-<知识库文章>-<架构>.exe
架构占位符表示不同的硬件平台。例如,它可能表示以下某一文件夹:
x86
x64
IA64

例如,运行以下命令来解压缩 PCU 包的内容:
SQLServer2008- KB123456-IA64.exe /x:c:\MyUpdate\PCU
SQLServer2008- KB123456-x64.exe /x:c:\MyUpdate\PCU
SQLServer2008- KB123456-x86.exe /x:c:\MyUpdate\PCU
前面的命令将三个架构合并到一个文件夹中。如果需要在 PCU 的基础上包含 CU,请将累积更新包解压缩到 c:\MyUpdate\CU

将 SQL Server 2008 DVD 内容复制到本地文件夹,例如 SQLServer2008RTM。
若要更新原始安装媒体中的文件,请将 SQLSupport.msi 文件从 C:\MyUpdate\PCU\<架构>\setup\<语言 LCID>\sqlsupport.msi 复制到 C:\SQLServer2008RTM\<架构>\Setup\sqlsupport.msi。确保复制了每一个架构的 Sqlsupport.msi。
注意:
如果还要使用集成来整合累积更新包,请改用解压缩的累积更新文件夹中的文件。

将 Setup.exe 和 Setup.rll 文件从 C:\MyUpdate\PCU\ 文件夹复制到包含来自 DVD 源媒体的根文件夹。
注意:
如果还要使用集成来整合累积更新包,请改用解压缩的累积更新文件夹中的文件。

若要更新原始安装媒体中的文件,请将 c:\MyUpdate\PCU\<架构> 中除 Microsoft.SQL.Chainer.PackageData.dll之外的所有文件(不复制文件夹)复制到 C:\SQLServer2008RTM \<架构>
注意:
如果还要使用集成来整合累积更新包,请改用解压缩的累积更新文件夹中的文件

启动 Setup.exe 程序(位于 C:\SQLServer2008RTM 中)并指定 /PCUSource 参数和 /CUSource 参数的值。例如,C:\SQLServer2008RTM\Setup.exe /PCUSource=c:\MyUpdate\PCU /CUSource= c:\MyUpdate\CU。
注意:
如果将该文件夹放在共享位置供用户安装,请将 /PCUSource 和 /CUSource 参数设置为 UNC 路径。

热心网友 时间:2022-04-14 19:39

现在团IDC网上有49元/年美国1G空间的团购,便宜有口碑
另外,虚机团上产品团购,超级便宜

热心网友 时间:2022-04-14 21:13

抱歉!这个问题不懂哦,请再加油吧!

热心网友 时间:2022-04-14 23:05

多试几次
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
五月天的历年专辑价钱及曲目 五月天的所有专辑? 五月天一共有多少专辑啊? 请问男女之间的爱情有性才能维持吗? 迈克尔 杰克逊的最好听的十首歌 给个下载地址 分公司是否可以和员工签订劳动合同 分公司能否与员工签立劳动合同? 分公司可以与员工签订劳动合同的吗 分公司可否签订劳动合同 分公司能否签劳动合同 联想笔记本在设备管理器里面找不到摄像头,安装驱动也安装不了,上个月还用了的,求大神 华为mate40Pro和三星note20那个好? 苹果7p用了一个月了,突然不读sim卡,需要重启,但是一会儿又不读取了 iphone6突然不读卡了怎么回事,哪里可以维 华为nova8和三星note20买那个比较值? Iphone5不读卡是什么原因 华为mate40Pro和三星note20那个值得买? 移动硬盘里的文件有一部分消失了,但占有空间没变,该怎么找回消失的文件? 移动硬盘文件异常消失 怎么把绑定的手机号取消 如何取消绑定手机号 如何取消绑定手机号 市场绝对占有率达到多少属于市场挑战者 简述房地产市场竞争楼盘调研的主要内容 如何在 SQL Server 中使用 Kerberos 身份验证 怎样能让手指变长,能抓住篮球就行! 兔年女宝宝五行缺什么 怎么样才能让手指变长 怎么样让手指变长 爱格板和亚克力哪个更好? 柔道BUFF集成选择哪些装备,另外问毒王还有 柔道的BUFF哪个加满,哪个不加,复制请被CAO DNF70版女柔道时装问题 流云作品集百度云 dnf哪些BUFF换装无效 增益BUFF 别说双刀 什么的 问的是 (暴走 破击 强拳 暴力抓取) 这类增益BUFF l流云签名设计 大家可听说过?签名可好? DNF柔道45带什么装备好? 想听歌了 DNF男柔道怎么高伤害?堆力量还是物攻。怎么堆? 谢霆锋的音乐水平如何? dnf柔道怎么提高技能 求流云大大的小说作品集,百度云,谢谢,么么哒 dnf柔道头和帽子加施放速度好吗 我主要pk!!! dnf男柔道值得玩么 求林徽因的作品,谢谢 qq邮箱:353991083@qq.com dnf70柔道刷图加点,达人请进,帮参考下。 薄暮流云拂晓浅霞出自哪里 DNF35级的柔道都需要哪些技能比较好啊 潜龙勿用的乐评 玉面银狐是在哪写书的?