none
SQL Zugriff - Win Anmeldung über AD geht nicht RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Hallo zusammen,

    wir haben einen SQL Server den wir im gemischten Modus betreiben, die User meistens jedoch über Windows-Authentifizierung laufen.

    Das Problem ist, das sich durch eine AD Umstellung die User nicht mehr anmelden können.

    Wir haben eine AD Gruppe (Universal - vom Typ Sicherheit - auch schon Global und Lokal versucht), in dieser wieder Gruppen enthalten sind und dort die User. Also geschachtelt.

    Der Zugriff schlägt fehl.
    2018-03-29 07:45:01.86 
    Logon Error: 18456, Severity: 14, State: 5.

     2018-03-29 07:45:01.86 
    Logon Login failed for user 'xxx'. Reason: Could not find a login matching the name provided. [CLIENT: xx.xxx.xxx.xx]

    Wird jedoch eine Untergruppe, in der der User enthalten ist hinzugefügt und auf die DB berechtigt funktioniert es.

    Wir haben keine Lösung.
    Hat von Euch jemand eine Idee?

    Gruß Daniel


    Donnerstag, 29. März 2018 07:20
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Daniel,

    zwei Ideen dazu:

    1.) Beschreibe doch mal was für eine "AD Umstellung" das war. Und genau dort würde ich dann auch ansetzen!

    2.) Ich fürchte, dass Du mit dieser Frage besser in einem Windows/AD-Forum aufgehoben bist!

    HTH!

    Einen schönen Tag noch, Christoph -- Data Platform MVP - http://www.insidesql.org/blogs/cmu

    Donnerstag, 29. März 2018 09:36
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Es wurde eine neue Domäne eingerichtet und die User werden nach und nach auf die neue migriert.

    Aber SQL kann grundsätzlich schon verschachtelte Gruppen oder?

    Okay dann versuche ich es mal dort-

    Danke

    Daniel

    Donnerstag, 29. März 2018 10:37
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Daniel,
    eine neue Domain bedeutet auch neue SID für die Nutzer bzw. Sicherheitsgruppen, auch, wenn die Anmeldenamen und Gruppennamen gleich lauten. Im SQL Server sind dann auch alle Verweise auf die Nutzer neu zu setzen, damit der SQL Server die neuen SID's kennt.

    --
    Viele Grüsse
    Peter Fleischer (ehem. MVP)
    Meine Homepage mit Tipps und Tricks

    Donnerstag, 29. März 2018 10:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Eine neue Domäne ist ja schon eine heftige Änderung!

    Versuch mal folgendes um herauszufinden, welche Anmeldungen jetzt nicht mehr funktionieren:

    exec sp_validatelogins;

    Und dann schau auch mal hier rein:

    Prüfen ob Datenbank Login/User noch im Active Directory

    Einen schönen Tag noch, Christoph -- Data Platform MVP - http://www.insidesql.org/blogs/cmu

    Donnerstag, 29. März 2018 11:32
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo Daniel,

    einige Tipps hast Du ja schon erhalten. Neue AD Gruppe in neuer Domäne bedeutet neue SID. Ergo muss man auf SQL Server Seite die Gruppen auch entsprechend einpflegen.

    Dann noch ein sehr frischer Artikel zum Thema Universal groups bzw warum diese im SQL Server nicht funktionieren:

    https://www.dcac.co/syndication/why-dont-universal-groups-work-in-sql-server

    Ergo musst Du am SQL Server immer eine local group oder global group verwenden.

    Zum Schluß dann noch folgender Tipp in Hinblick auf AD GRuppen Test:

    Schau dir mal die PowershellSammlung bzw das Modul dbatools an.  Hier gibt es einen Befehl, um recht schnell Valide Logins zu finden:

    https://dbatools.io/functions/test-dbavalidlogin/

    Gruß Dirk

    May you never suffer the sentiment of spending a day without any purpose

    Dienstag, 3. April 2018 10:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Noch generell was zum Thema AD Gruppen:

    in der Vergangenheit hab ich es immer so gehandhabt, dass auf die letztendliche Ressource (NTFS Ordner, Share, SQL Server, Reporting Server etc pp)  nur lokale Gruppen gesetzt wurden.

    In lokalen Gruppen waren aber nie direkt Benutzerkonten eingepflegt. Stattdessen waren die globalen Gruppen die Sammeltöpfe für Benutzerkonten.

    Universal groups waren die Sammeltöpfe in anderen Domänen für die globalen Gruppen.

    einfaches Beispiel: DomäneA/GG_Gruppe1 und DomäneA/GG_Gruppe2  sind beide Mitglied der universellen Gruppe DomäneB/UG_Sammeltopf. 

    Und die Gruppe DomäneB/UG_Sammeltopf ist wieder Mitglied einer DomäneB/LG_Ressourcenzugriff.

    Über den Weg erhalten dann Benutzer aus Domäne A Zugriff auf eine Ressource der Domäne B.

    May you never suffer the sentiment of spending a day without any purpose


    • Bearbeitet Dirk Hondong Dienstag, 3. April 2018 10:52 Korrektur bzgl Vertipper
    Dienstag, 3. April 2018 10:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 03.04.2018 schrieb Dirk Hondong:

    Noch generell was zum Thema AD Gruppen:

    Dann werf ich gleich noch einen IMHO sehr guten Artikel zu dem Thema
    in die Diskussion:
    https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/
    Ganz wichtig bei Gruppen ist das Ab- und wieder Anmelden, sobald ein
    User in eine Gruppe als Mitglied hinzugefügt wurde.

    Man kann sich auch dieses Schaubild ausdrucken und aufhängen. :)
    https://www.faq-o-matic.net/wp-content/uploads/2011/02/Windows-AGDLP.png

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Dienstag, 3. April 2018 17:42
    |