web-dev-qa-db-ja.com

アカウントNT Service \ MSSQLSERVERアクセスのSQL Server 2012がドメインで拒否されました

数か月前、仮想アカウント "NT Service\MSSQLSERVER"でSQL Server 2012をWindows 2008 R2にインストールしましたが、すべて問題ありません。

数日前、IT部門の管理者の1人がSQL Server 2012にフルテキスト検索コンポーネントをインストールしました(問題は、セットアップ中に選択した設定を正確に思い出せなかったことです)。その後、かなりの数の問題が発生します:

A。Windowsログを確認しました。アプリケーションで、MSSQLServerに次のような異常なログが大量にあることがわかりました。

SQL Serverネットワークインターフェイスライブラリは、SQL Serverサービスのサービスプリンシパル名(SPN)[MSSQLSvc/FooComputer.FooDomain.com:1433]を登録できませんでした。 Windows戻りコード:0xffffffff、状態:63。SPNの登録に失敗すると、統合認証でKerberosではなくNTLMが使用される可能性があります。これは情報メッセージです。認証ポリシーでKerberos認証が必要であり、SPNが手動で登録されていない場合にのみ、追加のアクションが必要です。

それは原因のようですが、なぜ、どのようにそれを解決するのかわかりません。

B。( "MyDomain\FooUser")のようなドメインユーザーである所有者のSQLジョブは、次のメッセージで失敗します。

ジョブは失敗しました。ジョブJOBNAMEの所有者(MyDomain\FooUser)がサーバーにアクセスできるかどうかを判断できません(理由:Windows NTグループ/ユーザー 'MyDomain\FooUser'に関する情報を取得できませんでした。エラーコード0x6e。[SQLSTATE 42000](エラー15404))。

私たちは集中的な検索を行い、最後に所有者を「sa」に置き換えて問題を解決しましたが、それほどまともではありません。それでも、理由を知りたいと思います。

C。たとえば、他のコンピューターのフォルダーのようなネットワークリソースにアクセスできません。たとえば、次のSQLは「アクセスが拒否されました」を返します。

DECLARE @CopyCommand nvarchar(1000)
set @CopyCommand = 'dir ' + Char(34) + '\\FooComputer\FooFolder\' + Char(34)
EXEC master..xp_cmdshell @CopyCommand

問題Cについては、MSDN( http://technet.Microsoft.com/en-us/library/ms143504.aspx )によると、アカウント "MyDomain\SQLServerComputerName $"にフルコントロールアクセスを付与しようとしました"フォルダーに移動しても、同じ結果になります。

7
unruledboy

これら3つの問題はすべて、SQLサービスを実行しているアカウントがドメインアカウントではないことが原因であり、SQLをドメインアカウントで実行するように変更することですべて修正されます。具体的には:

A-SPNは、ドメインアカウントを必要とするKerberosセキュリティ機能であり、ローカルアカウントでは機能しません

B-Active Directoryから読み取るには、サービスにドメインアカウントの資格情報が必要です

C-ローカルアカウントはリモートコンピューターで認識されないため、接続の試行を拒否します。

以下は、サービスアカウントを変更する方法のウォークスルーです。

http://technet.Microsoft.com/en-us/library/ms345578.aspx

7
SqlRyan

古い質問ですが、適切な答えがないようです。 NT Service\MSSQLSERVERはローカルの仮想アカウントであり、コンピュータアカウントとしてネットワークにアクセスします。また、コンピューターアカウントが共有やファイルシステムにアクセスできる限り、たとえばネットワーク上のUNCパスへのバックアップを行うことができます。 Windowsサービスアカウントとアクセス許可の構成 を参照してください。

1
StiffBoard

この問題が発生したときの解決策は、フォルダーを見つけて、これを必要とする仮想アカウントに必要な権限を追加することでした。アカウントを追加したら、それを入力するだけで、ログファイルを監視したところ、このフォルダー/ファイルに関して問題がなくなっていることがわかりました。

1
user250187