none
pb d'accès SQL Serveur 2008 R2 RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour a tous

    Un problème est apparu sur mon infrastructure SQL fin de semaine dernière. J'ai un serveur SQL 2008 R2 sur un domaine et des pc l'utilisent via une application sur ce même domaine mais également sur un autre domaine (dans la plage IP).

    jusqu'à la semaine dernière tous marchait bien mais depuis Vendredi, les pc sur l'autre domaine ne peuvent plus ce connecter au serveur a travers l'application.

    sur l'interface de l'application j'ai une message d'erreur me disant que la connexion ne peut pas etre effectué et dans les log du serveur j'ai cette erreur

    Nom du journal :Application
    Source :       MSSQL$VIDEOR
    Date :         31/01/2016 22:15:54
    ID de l’événement :17806
    Catégorie de la tâche :Ouverture de session
    Niveau :       Erreur
    Mots clés :    Classique
    Utilisateur :  N/A

    Description :
    Échec de la négociation SSPI avec le code d'erreur 0x8009030c, état 14 lors de l'établissement d'une connexion avec une sécurité intégrée ; la connexion a été fermée. Raison : Échec d'AcceptSecurityContext. Le code d'erreur Windows indique la cause de l'erreur.  [CLIENT : 172.29.65.60].
    XML de l’événement :
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="MSSQL$DB" />
        <EventID Qualifiers="49152">17806</EventID>
        <Level>2</Level>
        <Task>4</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2016-01-31T21:15:54.000000000Z" />
        <EventRecordID>27231</EventRecordID>
        <Channel>Application</Channel>
        <Computer>SQLDB</Computer>
        <Security />
      </System>
      <EventData>
        <Data>8009030c</Data>
        <Data>14</Data>
        <Data>Échec d'AcceptSecurityContext. Le code d'erreur Windows indique la cause de l'erreur.</Data>
        <Data> [CLIENT : 172.29.65.60]</Data>
        <Binary>8E4500001400000011000000500052004F002D00530051004C00440042005C0056004900440045004F005200000000000000</Binary>
      </EventData>
    </Event>

    Je n'ai fait aucune modification sur aucun éléments de l'infra pourtant. En regardant sur le technet j'ai trouvé quelques problème similaire en indiquant qu'il était possible de regler le problème en ajoutant une clef de registre dans DisableLoopbackCheck mais sans succès.

    si quelqu'un avait un ptit idée :)

    merci par avance

    didier

    dimanche 31 janvier 2016 21:34
    |

Toutes les réponses

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonsoir,

    les utilisateurs de l'autre domaine étaient authentifiés automatiquement (SSPI=Authentification Intégrée).

    2 hypothèses:

    - Il y a/avait une approbation entre les 2 domaines. Celle-ci ne fonctionne plus (arrêt d'un DC, pb de résolution DNS, par exemple) ou a été supprimée.

    - Les comptes utilisateurs avaient (par hasard?) les mêmes Login/password sur les 2 domaines.

    Dans tous les cas, les comptes du 2ème domaine ne sont pas/plus autorisés à se connecter.

    => Vérifier dans SQL les comptes effectivement autorisés à se connecter.

    A bientôt,

    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    dimanche 31 janvier 2016 22:47
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    bonjour Thierry

    merci pour votre réponse.

    Ce que je ne comprend c'est que j'utilise le compte SA depuis mon application. normalement ce compte est sensé s'affranchir des problématiques de domaine non ?

    Cordialement

    didier

    lundi 1 février 2016 14:47
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Outre le fait que le compte SA devrait être réservé à l'administration(teur)... il semble que ce mode d'accès ne soit plus possible. Effectivement, les comptes SQL intégrés (SA) sont indépendants des domaines, même s'ils suivent maintenant les mêmes stratégies (de complexité) que le domaine.

    Puisque cela fonctionne à partir d'un domaine, et pas de l'autre, cela veut dire que tous les utilisateurs n'utilisent pas le compte SA. Ou bien, certains modules de l'application n'ont pas été configurés de la même manière.

    A suivre...

    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    lundi 1 février 2016 15:02
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour

    Oui les utilisateurs du domaine sur lequel est installé SQL se connecte avec leur propre compte AD.

    Par contre qu'elle sont les Best practice pour la connexion de l'autre domaine ??

    merci par avance

    Didier

    mardi 2 février 2016 07:34
    |