使用 Windows 身份验证的 Service Broker 连接失败，除非服务帐户在两端都是管理员

发布于 2024-11-23 16:15:13 字数 495 浏览 0 评论 0原文

拓扑：

计算机 A - Windows Server 2008 - SQL 2008 R2 Dev SQL Server 以 mydomain\user1 身份运行

计算机 B -Windows 7 -SQL 2008 R2 Dev SQL Server 以 mydomain\user1 身份运行

我已在任一端授予服务帐户连接权限到任一 SQL 服务器上的端点。如果我将 mydomain\user1 添加到任一端的计算机管理员组中，则可以毫无问题地建立连接。如果我将其从这些组中删除，我会收到以下消息：

连接握手失败。操作系统调用失败：(8009030c) 0x8009030c（登录尝试失败）。状态 67.

如有任何帮助，我们将不胜感激。我们确实不确定所需的最低权利。我们计划最终将其迁移到生产环境，但我不希望 sql 服务以本地计算机管理员身份运行。顺便说一句，我已经让我的服务器管理员了解了情况，据他们所知，SPN 似乎设置正确。

我在 MSDN 论坛上问了同样的问题

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

巷子口的你 2024-11-30 16:15:13

如果两台计算机都作为域用户服务帐户运行，并且您授予了必要的权限（在 SSB 端点上 CONNECT），则在 SSB 配置方面您无需执行任何其他操作。该错误是操作系统错误，最好的调查方法是使用 Kerberos 故障排除文档：Kerberos 错误疑难解答。

最可能的原因是 SPN 格式错误。 Service Broker 要求提供 SPN，例如 MSSQLSvc\:。它将格式化请求的 SPN (DsMakeSpn）来自路由地址，因此如果您在路由中使用 FQDN，则 SPN 必须是 FQDN，如果您仅使用主机名，则 SPN 必须基于主机名。该部分也来自路由，如果省略则为默认的 4022。