Discussion :

[teuhinui]

Bonjour à tous,

Je vous remercie par avance pour votre aide, ca fait des heures que je cherche une solution.... en vain...

J'essaie de lier deux serveurs SQL (un serveur SQL 2008[R2] un serveur SQL 2012). Je souhaite pouvoir interroger le serveur 2012 à partir du serveur 2008.

• Dans un premier temps au moment de définir la sécurité lors de la création de la liaison j'ai choisi l'option:"Be made using the login's current security context".
  Quand j'interroge le serveur lié 2012 à partir du serveur 2008 ca fonctionne. Par contre lorsque j'essaie de réaliser une requête à partir de mon poste j'ai le message d'erreur suivant: "Msg*18456, Niveau*14, État*1, Ligne*1
  Échec de l'ouverture de session de l'utilisateur*'AUTORITE NT\ANONYMOUS LOGON". => visiblement c'est un problème avec KERBEROS mais je ne sais pas pourquoi et à vrai dire je ne comprends pas grand chose.

• J'ai ensuite essayé de choisir l'option : "Be made using this security context" en précisant un login et un mdp. Cette fois j'ai l'erreur suivante : "There is no remote user ... mapped to local user "(null)" from the remote server... error 15466).
  Après de nouveaux plusieurs recherches j'ai essayé d'exécuter cette requête "ALTER SERVICE MASTER KEY FORCE REGENERATE" mais j'ai également un message d'erreur :
  "The current master key cannot be decrypted. The error was ignored because the FORCE option was specified.
  Msg 15209, Level 16, State 1, Line 1
  A error occurred during encryption."

Bref, je suis complètement bloquée!

Si quelqu'un peut m'aider....
Merci d'avance!

[mikedavem]

Hello,

Effectivement tu as bien un souci d'authentification car tu es dans une problématique appelée double saut.

Client --> SQL1 --> SQL2 (via le serveur lié).

Dans ce cas et comme tu utilises une authentification Windows (via l'option utiliser le contexte de sécurité courant ...) il faut configurer ton environnement pour mettre la délégation d'authentification. Ce paramétrage dépend directement de la configuration de ton environnement. De manière générale ce qu'il faut commencer par faire :

- Configurer un SPN pour le compte de service de chaque instance SQL concerné (SQL1 et SQL2 dans mon exemple)
- Autoriser le serveur SQL1 à déléguer les jetons d'authentification
- Autoriser le compte de service de l'instance SQL1 à déléguer les jetons Kerberos vers le service mssql de l'instance SQL2

Tu peux également t'aider de l'outil fourni par Microsoft pour t'aider dans le troubleshooting de ta configuration.

++

[teuhinui]

Bonjour,

tout d'abord merci beaucoup pour ta réponse! J'ai lu tes réponses au post "Authentification Kerberos sur SQL" et sais donc que tu connais très bien le sujet!
Je préfère te dire que je ne suis pas du tout technique... alors je m'excuse d'avance pour les questions basiques que je risque de poser..

J'ai installé l'outil fourni par Microsoft sur mon PC. Quand j'essaie de me connecter aux deux serveurs j'ai le message d'erreur suivant: "Unable to access User Principal information from the System"

Ce que j'ai vérifié :
=> les SVR1 et SVR2 ont l'option "Approuver cet ordinateur pour la délégation à tous les services (Kerberos uniquement)
=> le compte "Administrateur" avec lequel j'essaie de me connecter avec l'utilitaire a les droits de délégation

J'ai regardé dans l'AD et pour la majorité des comptes USER je n'ai pas l'onglet "Délégation" et ne peut donc pas activer la délégation pour d'autres comptes et je ne sais pas pourquoi...

Autre question : est ce que les comptes qui permettent de démarrer les services "SQLSERVER" et "SSRS" ont un rapport avec ces SPN?
J'ai bien vu les commandes à passer pour définir ces SPN
--SQL Server Service
SETSPN -S mssqlsvc/servername:1433 Domain\COMPTE

--Reporting Services Service
SETSPN -S http/servername Domain\COMPTE
SETSPN -S http/servername.domain.com Domain\COMPTE

mais je ne sais même pas avec quel outil je peux lancer ces commandes...

Encore une fois merci pour ton aide.
Bonne journée,

[mikedavem]

J'ai regardé dans l'AD et pour la majorité des comptes USER je n'ai pas l'onglet "Délégation" et ne peut donc pas activer la délégation pour d'autres comptes et je ne sais pas pourquoi...

Pour le moment ceci est normal car il n'existe pas de SPN pour les comptes en question. Tu ne verras le volet "délégation" qu'une fois ces SPN configurés pour les comptes concernées.

Autre question : est ce que les comptes qui permettent de démarrer les services "SQLSERVER" et "SSRS" ont un rapport avec ces SPN?

Oui ... du moins pour le moment il est juste question de SQL Server mais si tu te connectes via le serveur de rapport il faut que tu nous en dises plus sur ton architecture. Par exemple :

Client --> SSRS (SRV1) --> SQL1 (SRV2) --> SQL2(SRV3) ...

J'ai bien vu les commandes à passer pour définir ces SPN

Tu dois utiliser l'utilitaire en ligne de commande SPN qui est de base sur l'ensemble de tes serveurs. Il faut simplement que le compte qui lance l'exécutable ait les droits de sur l'active directory.

++

[teuhinui]

Pour le moment ceci est normal car il n'existe pas de SPN pour les comptes en question. Tu ne verras le volet "délégation" qu'une fois ces SPN configurés pour les comptes concernées.

=> ah ok, je comprends mieux l'utilité de passer ces commandes... ;-)

Oui ... du moins pour le moment il est juste question de SQL Server mais si tu te connectes via le serveur de rapport il faut que tu nous en dises plus sur ton architecture. Par exemple :

Client --> SSRS (SRV1) --> SQL1 (SRV2) --> SQL2(SRV3) ...

Mon architecture:
Client -- > SQL1 (SRV2) --> SSRS (SRV1)
Client -- > SQL2 (SRV3 ) --> SSRS (SRV1)
...

En fait j'ai plusieurs serveurs sql et je souhaite pourvoir interroger, à partir de mon poste, les tables du SRV2 (ou du SRV3) en me connectant à ce serveur avec Management Studio et une table de dimensions que j'ai créée sur le SRV1 (cette table est commune à tous les serveurs).

Tu dois utiliser l'utilitaire en ligne de commande SPN qui est de base sur l'ensemble de tes serveurs. Il faut simplement que le compte qui lance l'exécutable ait les droits de sur l'active directory.

Je me suis connectée avec un compte admin du domaine sur le serveur SVR2 mais je ne trouve pas cet utilitaire... Tu peux me guider stp?

[mikedavem]

Je me suis connectée avec un compte admin du domaine sur le serveur SVR2 mais je ne trouve pas cet utilitaire... Tu peux me guider stp?

En principe il suffit d'ouvrir une fenêtre de commande DOS et de taper setspn (vu qu'il est dans le path) et les paramètres qui vont bien.
Pour vérifier que tu as bien l'utilitaire tu peux commencer par taper setspn dans la fenêtre de commande. Si l'utilitaire est présent alors il te demandera de spécifier les arguments nécessaires.

++

[teuhinui]

Bonsoir,

merci pour ces infos. Je n'ai pas pu les mettre en application car je suis en vacances pour une semaine. Je reprendrai le paramétrage à mon retour !

Encore merci beaucoup pour ton aide

[teuhinui]

Bonjour David,

Merci pour ta réponse et désolée de mon retour tardif mais le retour de vacances est chargé...
J'ai essayé de t'envoyer un MP mais tu n'as plus de place dans ta boite. J'ai lancé la commande "setspn" sans paramètres dans une fenêtre de commande et visiblement l'utilitaire n'est pas installé.
Je donc vais chercher une SSII pour m'aider dans ce paramétrage car je n'y connais rien et ça va me prendre trop de temps de m'y mettre!

Encore merci pour ton aide et pour tes réponses rapides!
Bon après midi

[mikedavem]

Oui désolé j'ai fait le ménage .... c'est possible maintenant :-)

Bon courage pour ton paramétrage