Login Microsoft SQL Server menggunakan Kredensial Direktori Aktif


13

Microsoft SQL Server kami berjalan pada Server Windows yang merupakan bagian dari domain Direktori Aktif.

Untuk manajemen pengguna yang mudah, otorisasi SQL kami diatur dengan menggunakan Grup Pengguna Direktori Aktif seperti yang dijelaskan dalam posting ini .

Sekarang ini berfungsi dengan baik selama semua orang bekerja di dalam domain. Orang masuk ke komputer mereka menggunakan kredensial AD dan dapat terhubung ke server SQL dengan menggunakan "Otentikasi Windows".

Masalahnya adalah bahwa pengguna kami juga akan bekerja pada komputer klien lain yang bukan bagian dari domain Direktori Aktif (dan menambahkannya ke domain bukan pilihan).

Saya berharap mereka bisa terus menggunakan kredensial AD mereka untuk login ke server dengan menggunakan otentikasi AD sebagaimana disebutkan dalam layar login SQL Server.

Layar Masuk SQL Server

Namun ini sepertinya tidak berhasil.

Masuk dengan Acive Directory Password Authentication memberikan masalah sertifikat. Kesalahan: "Rantai sertifikat dikeluarkan oleh otoritas yang tidak tepercaya."

Cannot connect to x.x.x.x.

===================================

A connection was successfully established with the server, but then an error occurred during the login process. (provider: SSL Provider, error: 0 - The certificate chain was issued by an authority that is not trusted.) (.Net SqlClient Data Provider)

------------------------------
For help, click: http://go.microsoft.com/fwlink?ProdName=Microsoft%20SQL%20Server&EvtSrc=MSSQLServer&EvtID=-2146893019&LinkId=20476 (page does not exist)

Anehnya, jika saya pergi ke pengaturan "opsi" di jendela login dan centang kotak "kepercayaan server sertifikat". Tiba-tiba saya TIDAK bisa terhubung ke server dan saya hanya mendapatkan kesalahan.

Cannot connect to x.x.x.x.

===================================

Login failed for user ''. (.Net SqlClient Data Provider)

Apakah pengaturan yang ingin saya capai mungkin? Dan jika demikian, bagaimana saya bisa mencapainya? :)

Rekap: SQL Server berjalan dalam domain AD, pengguna memiliki kredensial AD tetapi juga harus dapat login dari komputer klien BUKAN bagian dari domain AD dengan kredensial AD mereka.


Buka C:\WINDOWS\system32\cliconfg.exedan periksa untuk melihat apakah enkripsi protokol paksa diaktifkan. Jika dinonaktifkan
Drifter104

Tidak itu tidak diaktifkan.
Gilles Lesire

2
Masalah menarik. Ini tampaknya valid: runas /netonly /user:domain\username "c:\path\ssms.exe" mssqltips.com/sqlservertip/3250/…
Michal Sokolowski

Jawaban:


10

Pesan kesalahannya adalah bahwa sertifikat dikeluarkan oleh otoritas yang tidak dipercaya. Itu akan menjadi domain AD Anda, kemungkinan besar.

Beberapa solusi yang mungkin ingin Anda coba:

  1. Posting dba.stackexchange.com ini menyarankan mengklik tombol opsi pada jendela koneksi Anda di atas dan menambahkanTrustServerCertificate=True bawah Parameter Koneksi Tambahan. Ini pada dasarnya mengatakan pada SSMS bahwa ya, Anda tahu, lakukan saja.
  2. Jika itu tidak berhasil, posting dba.stackexchange.com ini menyarankan menggunakan runas untuk menipu Windows. Misalnya, runas /netonly /user:domain\username "C:\path_to\ssms.exe"saya belum pernah melakukan ini dengan SSMS tetapi patut dicoba, karena OP tampaknya berada dalam situasi yang sama dengan Anda (dan saya percaya pria itu menjawab).

Bagaimanapun, semoga salah satu dari solusi tersebut akan melakukan trik untuk Anda.


1
Solusi pertama tidak berhasil, itu sudah disarankan dalam pertanyaan saya. Solusi kedua tampaknya bekerja, meskipun ketika login masih mengatakan nama windows saya di sebelah koneksi, harus melakukan beberapa tes apakah itu benar-benar akun domain dan jika berfungsi dengan baik seperti yang diharapkan. Semoga saja.
Gilles Lesire

Jika runa berfungsi, apakah ada cara untuk menghindari command prompt? Tidak semua pengguna kami ahli teknologi.
Gilles Lesire

3
Mungkin Anda bisa membuat pintasan khusus? Saya sebenarnya baru saja menguji ini sendiri dengan menambahkan runas /netonly /user:domain\username string awal dari jalan pintas yang disalin. Ini bekerja dengan baik, meskipun juga muncul prompt perintah bagi mereka untuk memasukkan kredensial mereka.
Katherine Villyard

Atau gunakan Sysinternals ShellRUNAs
noam

1

Cara termudah adalah dengan mengklik kanan pada "Microsoft SQL Server Management Studio" - "lebih" pilih "Jalankan sebagai pengguna yang berbeda". Ini berhasil untuk saya. Saya pikir jika saya memilih "Active Directory - Password" dari layar login yang akan melakukan pekerjaan yang sama tetapi ... sayangnya tidak.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.