none
"Double hop" funzionante solo per l'account MIODOMINIO\Administrator RRS feed

  • Domanda

  • Buongiorno a tutti,

    Come da oggetto ho qualche problema a configurare due linked server SQL 2019.

    Ho letto numerose guide in merito e dopo avere controllato e ricontrollato e ricontrollato tutte le impostazioni non riesco ad abilitare l'autenticazione da un server (SQL-A) verso un server collegato (SQL-B) per altri utenti che non siano l'account "MIODOMINIO\Administrator".

    I server sono inseriti nel dominio, ogni servizio SQL è eseguito da due account diversi (MIODOMINIO\SQLsvcA per SQL-A e MIODOMINIO\SQLsvcB per SQL-B), tramite le varie utility a disposizione ho controllato che gli SPN e le rispettive deleghe e posso affermare che siano propriamente configurate. Anche i puntatori DNS sono corretti. Eseguendo le SP di sistema per identificare il protocollo di autenticazione, correttamente viene indicato "Kerberos". Gli account di dominio per i quali vorrei abilitare l'accesso al linked server sono presenti negli account di accesso di entrambi i server SQL con i diritti uguali a quello dell'account administrator. I medesimi account sono inseriti nel gruppo Domain Admins del dominio.

    Praticamente da una terzo PC con installato SSMS, accedendo come MIODOMINIO\Administrator tutto funziona perfettamente, immagino quindi che le impostazioni di SQL, SPN etc etc siano corrette.

    Dallo stesso PC, accedendo invece con un account diverso (MIODOMINIO\UtenteSQL), account per il quale ho provveduto ad assegnare gli stessi diritti e incluso negli stessi gruppi di MIODOMINIO\Administrator, ogni accesso al linked server genera il classico errore:

    L'acccesso non è riuscito per l'utente 'NT AUTHORITY\ACCESSO ANONIMO'. (Microsoft SQL Server, errore: 18456)

    Eseguendo invece SSMS su uno dei due server SQL dopo aver effettuato l'accesso come MIODOMINIO\UtenteSQL, posso "sfogliare" il server collegato (in questo caso però credo che funzioni perchè non viene effettuata una connessione "double hop", ma single)

    Per quanto ne posso capire, sembra che l'account per il quale vorrei abilitare l'accesso al linked server, non abbia gli stessi "diritti" (o impostazioni o attributi) dell'account administrator, ma non ho idea di come e dove verificare questa ipotesi.

    Grazie a tutti per la pazienza.
    Giovanni.

    P.S. Tutti e tre i server coinvolti eseguono Windows Server DataCenter 1809 build 17763.1518, SQL 2019 DataCenter 15.0.2070.41, con tutti gli aggiornamenti disponibili installati e (almeno temporaneamente) con i firewall disabilitati.

    giovedì 12 novembre 2020 12:11

Tutte le risposte

  • Ciao,

    il problema dovrebbe essere legato alla configurazione sull'AD dell'autentica Kerberos; qui puoi trovare indicazioni circa il tool rilasciato da Microsoft  per verificare la configurazione.

    Giorgio

    giovedì 12 novembre 2020 17:16
  • L'utility l'ho già installata prima ancora di postare e indica che gli SPN e le deleghe per entrambi i server/account sono propriamente configurati. Per sicurezza ho ricontrollato e riavviato entrambe le macchine.

    Stesso risultato.

    Ciao

    venerdì 13 novembre 2020 08:55
  • Puoi verificare che i due account di servizio Sql (MIODOMINIO\SQLsvcA, e MIODOMINIO\SQLsvcB) sull'AD, nel tab Delegation, abbiamo attivato il "trust for delegation to any services (Kerberos only)"?

    I messaggi che trovi filtrando i logs di sistema dei Sql sul text "SPN", segnalano errori?

    Ciao

    G


    venerdì 13 novembre 2020 10:23
  • "trust for delegation to any services (Kerberos only)" è attivo per entrambi gli account.

    Gli unici messaggi di log riguardanti gli SPN, sono solo le conferme delle registrazioni andate a buon fine.
    Es:
    The SQL Server Network Interface library successfully registered the Service Principal Name (SPN) [ MSSQLSvc/xxx.yyy.www:1433 ] for the SQL Server service.

    Non so più cos'altro cercare. Quello che mi mette più in difficoltà e che con l'account administrator invece tutto fila liscio.

    venerdì 13 novembre 2020 14:13
  • Se dopo aver riverificato la checklist Microsoft il problema persiste, allora non resta che attivare il loggin Kerberos e analizzarlo.

    Ciao

    G.


    sabato 14 novembre 2020 14:34
  • hai verificato se l'utente MIODOMINIO\UtenteSQL ha il diritto di accedere ai due server su cui sono in esecuzione le istanze SQL Server accedendo dalla rete ?'

    Edoardo Benussi
    e[dot]benussi[at]outlook[dot]it

    lunedì 16 novembre 2020 12:00
    Moderatore