क्रॉस डोमेन SQL सर्वर विंडोज प्रमाणीकरण का उपयोग कर लॉगिन करता है

जैसा कि मेरे प्रश्न अद्यतन में बताया गया है, सेवा खाते को Domain2 . में बदलना मुद्दे का समाधान किया। तो क्या चल रहा था?

समस्या - समझाया गया

जो मैं बता सकता हूं (माइक्रोसॉफ्ट प्रतिनिधि की मदद से भी), क्योंकि सेवा खाता मूल रूप से एक Domain1 था उपयोगकर्ता, यह निर्धारित नहीं कर सका कि कनेक्टिंग उपयोगकर्ता किस डोमेन स्थानीय समूह का सदस्य है जब उपयोगकर्ता Kerberos के माध्यम से प्रमाणीकरण कर रहा है। प्राथमिक लीड कि यह एक Kerberos मुद्दा था जब मैं "नामित पाइप्स" का उपयोग करके सफलतापूर्वक कनेक्ट हुआ क्योंकि यह NTLM प्रमाणीकरण का उपयोग करता है।

समग्र समाधान

सभी को एक साथ लाने के लिए, Domain1 . से उपयोगकर्ताओं को सफलतापूर्वक जोड़ने के लिए और Domain3 Domain2 . में समूहों के सदस्यों के रूप में ताकि समूहों को Windows प्रमाणीकरण के साथ SQL सर्वर लॉगिन के रूप में उपयोग किया जा सके, यहाँ आवश्यकताओं की एक सूची है (या कम से कम दृढ़ता से प्रोत्साहित):

1. डोमेन के बीच स्थापित विश्वास संबंध
   1. कम-से-कम 1 तरह के ट्रस्टों को स्थापित किया जाना चाहिए ताकि Domain2 ट्रस्ट Domain1 और Domain3
2. समूह Domain2 . में "डोमेन लोकल" के दायरे में होना चाहिए
   1. ऐसा इसलिए है ताकि आप Domain1 . से उपयोगकर्ताओं और समूहों को जोड़ सकें और Domain3
   2. अधिक जानकारी के लिए यहां देखें
3. गैर-व्यवस्थापकीय Domain2 निर्दिष्ट करने के लिए SQL सर्वर कॉन्फ़िगरेशन प्रबंधक का उपयोग करें सेवा खाता पहचान के रूप में उपयोगकर्ता
   1. MSDN दस्तावेज़ क्यों एक डोमेन उपयोगकर्ता खाते का उपयोग करना पसंद किया जा सकता है
   2. भले ही कॉन्फ़िगरेशन प्रबंधक को आपके लिए स्थानीय SQL Server 2005 विशिष्ट समूहों में उपयोगकर्ताओं को जोड़ना है (यानी SQLServer2005MSSQLUser$MY_MACHINE$MY_INSTANCE), मैं कुछ उदाहरणों में भाग गया जहां ऐसा नहीं था। तो बस यह सुनिश्चित करने के लिए अपने स्थानीय समूहों की जांच करें कि वे आपके Domain2 . के साथ उचित रूप से अपडेट किए गए हैं उपयोगकर्ता खाता।
   3. यद्यपि SQL सर्वर सेट अप को स्वचालित रूप से अपने स्थानीय समूहों के लिए उचित अनुमतियां असाइन करनी चाहिए, फिर भी, मैं कुछ उदाहरणों में भाग गया जहां यह मामला नहीं था। यदि आपके साथ ऐसा होता है, तो आप अनुमति आवश्यकताओं के लिए इस एमएसडीएन लेख को पहले उल्लेखित लेख के साथ संदर्भित कर सकते हैं।
4. SQL सर्वर इंस्टेंस होस्ट (किसी भी उपनाम सहित) और Domain2 के लिए सर्विस प्रिंसिपल नेम (SPN) कॉन्फ़िगर करें सेवा खाता
   1. एसपीएन क्लाइंट और सर्वर होस्ट के बीच पारस्परिक प्रमाणीकरण के लिए आवश्यक है
   2. अधिक जानकारी के लिए यह TechNet लेख देखें
5. आप किस प्रकार प्रतिरूपण का उपयोग करना चाहते हैं, इस पर निर्भर करते हुए, आप Domain2 को सक्षम करना चाह सकते हैं प्रतिनिधिमंडल के लिए विश्वसनीय सेवा खाता
   1. अधिक जानकारी के लिए यह TechNet लेख देखें
6. SQL सेवा आवृत्ति के लिए दूरस्थ कनेक्शन सक्षम करें
7. आखिरकार, वांछित Domain2 . के लिए लॉगिन बनाएं समूह और कोई भी Domain1 या Domain3 सदस्यों को दूरस्थ रूप से कनेक्ट करने में सक्षम होना चाहिए!

नोट

हमेशा की तरह किसी भी दूरस्थ नेटवर्क गतिविधि के साथ, यह सुनिश्चित करने के लिए अपने फ़ायरवॉल की जाँच करें कि आपके SQL सर्वर पोर्ट अवरुद्ध नहीं हैं। हालांकि डिफ़ॉल्ट पोर्ट 1433 है, यह सुनिश्चित करने के लिए जांचें कि आपका पोर्ट स्पष्ट है।