Active Directory資格情報を使用したMicrosoft SQL Serverログイン

13

Microsoft SQL Serverは、Active Directoryドメインの一部であるWindowsサーバーで実行されています。

ユーザー管理を容易にするため、この投稿で説明するように、Active Directoryユーザーグループを使用してSQL承認を設定します。

誰もがドメイン内で作業している限り、これは問題なく機能します。AD資格情報を使用してコンピューターにログインし、「Windows認証」を使用してSQLサーバーに接続できます。

問題は、ユーザーがActive Directoryドメインの一部ではない他のクライアントコンピューターでも作業することです(ドメインに追加することはオプションではありません)。

SQL Serverのログイン画面に記載されているAD認証を使用して、AD資格情報を使用してサーバーにログインし続けることを望んでいました。

SQL Serverログイン画面

ただし、これは機能していないようです。

Acive Directory Password Authenticationでログインすると、証明書の問題が発生します。エラー:「証明書チェーンは信頼されていない機関によって発行されました。」

Cannot connect to x.x.x.x.

===================================

A connection was successfully established with the server, but then an error occurred during the login process. (provider: SSL Provider, error: 0 - The certificate chain was issued by an authority that is not trusted.) (.Net SqlClient Data Provider)

------------------------------
For help, click: http://go.microsoft.com/fwlink?ProdName=Microsoft%20SQL%20Server&EvtSrc=MSSQLServer&EvtID=-2146893019&LinkId=20476 (page does not exist)

奇妙なことに、ログインウィンドウで[オプション]設定に移動し、[サーバー証明書を信頼する]ボックスをオンにすると。突然サーバーに接続できなくなり、エラーが発生します。

Cannot connect to x.x.x.x.

===================================

Login failed for user ''. (.Net SqlClient Data Provider)

達成したいセットアップは可能ですか?もしそうなら、どうすればそれを達成できますか?:)

要約: SQL ServerはADドメインで実行されており、ユーザーはAD資格情報を持っていますが、ADドメインの一部ではないクライアントコンピューターからもAD資格情報でログインできる必要があります。

windows-server-2008  active-directory  sql-server-2008  authentication  cross-domain 
ジル・レジール
ソース
C:\WINDOWS\system32\cliconfg.exeプロトコル暗号化の強制が有効になっているかどうかを開いて確認します。無効にした場合
-Drifter104
いいえ、有効ではありません。
ジルレジー
2
興味深い問題。これは有効なようだ:runas /netonly /user:domain\username "c:\path\ssms.exe" mssqltips.com/sqlservertip/3250/...
ミハルSokolowski

回答:

10

エラーメッセージは、証明書が信頼できない機関によって発行されたことです。それはおそらくあなたのADドメインでしょう。

あなたが試してみたいかもしれないいくつかの回避策:

  1. このdba.stackexchange.comの投稿では、上の接続ウィンドウのオプションボタンをクリックして、[ TrustServerCertificate=True追加の接続パラメーター]に追加することをお勧めします。これは基本的にSSMSに、はい、知っている、ただそれを行うことを伝えています。
  2. それが機能しない場合、このdba.stackexchange.comの投稿は、Windowsをだますためにrunasを使用することを提案しています。たとえば、runas /netonly /user:domain\username "C:\path_to\ssms.exe"私はSSMSでこれをやったことはありませんが、OPはあなたに似た状況にあるようですので、試してみる価値があります(そして私は答える人を信頼しています)。

とにかく、うまくいけばそれらの回避策の1つがあなたのためにトリックをするでしょう。

キャサリン・ビリヤード
ソース
1
最初の解決策は機能しませんでしたが、すでに私の質問で解決されました。2番目の解決策は機能しているように見えますが、ログインしても接続の横に私のWindows名が表示されますが、実際にドメインアカウントであり、期待どおりに正しく機能するかどうかをテストする必要があります。成功を祈っている。
ジルレジール
runasが機能する場合、コマンドプロンプトを回避する方法はありますか?すべてのユーザーがハイテクに精通しているわけではありません。
ジルレジール
3
たぶん、カスタムショートカットを作成できますか?実際runas /netonly /user:domain\username に、コピーしたショートカットの先頭文字列に追加することで、これを自分でテストしました。正常に機能しましたが、資格情報を入力するためのコマンドプロンプトがポップアップ表示されました。
キャサリンビリヤード
またはSysinternalsの使用ShellRunAs
ノーム・
1

最も簡単な方法は、[Microsoft SQL Server Management Studio]-[その他]を右クリックすることです。[別のユーザーとして実行]を選択します。それは私のために働いた。ログイン画面から「Active Directory-Password」を選択すると、同じ仕事ができると思いましたが、残念ながらできませんでした。

ピーターV
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.