Condividi tramite


Problemi di autenticazione coerenti in SQL Server

Si applica a: SQL Server

Note

I comandi forniti in questo articolo si applicano solo ai sistemi Windows.

I problemi di autenticazione coerenti che si verificano in Microsoft SQL Server sono in genere correlati all'autenticazione e all'autorizzazione di utenti o applicazioni che tentano di accedere al database di SQL Server. Questi problemi possono essere errori di autenticazione, errori di accesso negato o altri problemi correlati alla sicurezza.

La chiave per risolvere efficacemente i problemi di autenticazione coerenti consiste nel comprendere i diversi tipi di errore e il significato di ogni messaggio di errore. Alcuni errori potrebbero essere visualizzati in più problemi di autenticazione. È possibile usare le informazioni sulla risoluzione dei problemi indicate nella sezione Tipi di errori per risolvere l'errore.

Prerequisiti

Prima di iniziare la risoluzione dei problemi, seguire l'elenco di controllo dei prerequisiti per avere le informazioni seguenti pronte:

Tipi di errori

In questa sezione vengono descritti i tipi di errore e le informazioni correlate.

  • Errori dei servizi directory: se il file di log degli errori di SQL Server contiene uno o entrambi i messaggi seguenti, questo errore è correlato a Dominio di Active Directory Services (AD DS). Questo errore può verificarsi anche se Windows nel computer basato su SQL Server non riesce a contattare il controller di dominio (DC) o se il servizio LSASS (Local Security Authority Subsystem Service) riscontra un problema.

    Error -2146893039 (0x80090311): No authority could be contacted for authentication.
    Error -2146893052 (0x80090304): The Local Security Authority cannot be contacted.
    
  • Errori di accesso non riusciti: quando si risolve l'errore "Accesso non riuscito", il log degli errori di SQL Server fornisce informazioni dettagliate aggiuntive sul codice errore 18456, incluso un valore di stato specifico che offre più contesto sull'errore. Per altre informazioni, vedere il file di log degli errori di SQL Server nel valore dello stato SQL. È possibile provare a risolvere il problema in base alla descrizione del valore dello stato.

    Nella tabella seguente sono elencati alcuni messaggi di errore specifici "Accesso non riuscito" e le possibili cause e soluzioni.

    Messaggio d'errore Ulteriori informazioni
    "Si è verificato un errore a livello di trasporto durante l'invio della richiesta al server". Controllare se il mapping dell'account del server collegato è corretto. Per altre informazioni, vedere sp_addlinkedsrvlogin.
    "Impossibile generare il contesto SSPI"
    "Impossibile aprire il test> del database <richiesto dall'account di accesso. Accesso non riuscito." Il database potrebbe essere offline oppure le autorizzazioni potrebbero non essere sufficienti. Per altre informazioni, vedere Database offline in MSSQLSERVER_18456.
    Controllare inoltre se il nome del database nel stringa di connessione è corretto.
    "Accesso non riuscito per il nome utente<>". Questo errore può verificarsi se l'account proxy non è autenticato correttamente.
    "Accesso non riuscito per l'utente: 'NT AUTHORITY\ANONYMOUS LOGON'" Questo errore può verificarsi se manca il nome SPN, il nome SPN è duplicato o se l'SPN si trova nell'account errato.
    "Accesso non riuscito per il nome utente<>".
    "Accesso non riuscito per l'utente '<database\username>'
    Controllare se un stringa di connessione contiene un nome di server non corretto. Controllare inoltre se l'utente appartiene a un gruppo locale usato per concedere l'accesso al server. Per altre cause, vedere NT AUTHORITY\ANONYMOUS LOGON.
    "Accesso non riuscito per l'utente '<username>'. Motivo: la password non corrisponde a quella per l'account di accesso fornito." Questo errore può verificarsi se viene usata una password non corretta. Per altre informazioni, vedere Accesso non riuscito per l'utente '<username>' o accesso non riuscito per l'utente '<nome utente> dominio><'.
    "SQL Server non esiste o non è stato negato l'accesso". Le connessioni Named Pipes hanno esito negativo perché l'utente non dispone dell'autorizzazione per accedere a Windows.
    "L'account di accesso proviene da un dominio non attendibile e non può essere usato con autenticazione di Windows". Questo errore potrebbe essere correlato ai problemi del sottosistema di sicurezza locale.
    "L'account utente non è consentito dal tipo di account di accesso di rete". Potrebbe non essere possibile accedere alla rete.

Tipi di problemi di autenticazione coerenti

Questa sezione descrive le cause tipiche dei problemi di autenticazione coerenti insieme alle rispettive soluzioni. Selezionare il tipo di problema per visualizzare i problemi, le cause e le soluzioni pertinenti.

Stringa di connessione

Questa sezione elenca i problemi relativi alle impostazioni di configurazione usate dalle applicazioni per connettersi a un database.

  • SpN esplicito mancante : questo problema si verifica se il nome SPN non è configurato o registrato correttamente.

    Soluzione: per risolvere questo problema, vedere l'errore "Impossibile generare il contesto SSPI" quando si usa autenticazione di Windows per connettersi a SQL Server.

  • SPN esplicito non inserito: fa riferimento a un nome SPN non corretto associato a un determinato servizio o account.

    Soluzione: per risolvere questo problema, vedere SpN esplicito spostato in modo non corretto.

  • SPN esplicito è duplicato : questo problema si verifica se un nome SPN viene duplicato perché è registrato più volte.

    Soluzione: per risolvere questo problema, vedere l'errore "Impossibile generare il contesto SSPI" quando si usa autenticazione di Windows per connettersi a SQL Server.

  • Nome del server non corretto in stringa di connessione: questo problema si verifica se il nome del server specificato non è corretto o non è stato trovato.

    Soluzione: per risolvere questo problema, vedere MSSQLSERVER_18456.

  • Nome del database errato in stringa di connessione: questo problema si verifica se il nome del database fornito per l'autenticazione non è corretto.

    Soluzione: controllare se il nome è stato digitato correttamente. Per altre informazioni, vedere MSSQLSERVER_4064.

  • Account SPN esplicito errato: questo problema può verificarsi se il nome SPN è associato all'account errato in Servizi di dominio Active Directory.

    Soluzione: per risolvere questo problema, vedere Impossibile generare l'errore di contesto SSPI.

Database

Questa sezione elenca i problemi specifici per vari aspetti di SQL Server:

  • Il database è offline : si riferisce a uno scenario in cui un database di SQL Server tenta di riconnettersi a un'istanza di SQL Server configurata per la modalità di autenticazione di Windows.

    Soluzione: per altre informazioni, vedere MSSQLSERVER_18456.

  • Autorizzazioni del database: si riferisce all'abilitazione o alla limitazione dell'accesso a un database di SQL Server.

    Soluzione: per altre informazioni, vedere MSSQLSERVER_18456.

  • Errori di connettività del server collegato in SQL Server : si verifica un problema del processo di autenticazione che interessa i server collegati nel contesto di SQL Server.

    Soluzione: per risolvere questo problema, vedere Errori di connettività del server collegato in SQL Server.

  • I metadati del server collegato non sono coerenti : fa riferimento a un problema in cui i metadati del server collegato non sono coerenti o non corrispondono ai metadati previsti.

    Una vista o una stored procedure esegue una query sulle tabelle o sulle viste nel server collegato, ma riceve errori di accesso anche se non viene copiata una istruzione distribuita copiata SELECT dalla routine.

    Questo problema può verificarsi se la vista è stata creata e quindi il server collegato è stato ricreato oppure è stata modificata una tabella remota senza ricompilare la vista.

    Soluzione: aggiornare i metadati del server collegato eseguendo la sp_refreshview stored procedure.

  • L'account proxy non dispone delle autorizzazioni : un processo di SQL Server Integration Service (SSIS) eseguito da SQL Agent potrebbe richiedere autorizzazioni diverse da quelle che l'account del servizio SQL Agent può fornire.

    Soluzione: per risolvere questo problema, vedere Pacchetto SSIS non eseguito quando viene chiamato da un passaggio di processo di SQL Server Agent.

  • Non è possibile accedere al database di SQL Server: l'impossibilità di accedere può causare errori nell'autenticazione.

    Soluzione: per risolvere questo problema, vedere MSSQLSERVER_18456.

Servizi directory

In questa sezione sono elencati i problemi relativi a servizi directory e server.

  • Un account è disabilitato : questo scenario potrebbe verificarsi se l'account utente è stato disabilitato da un amministratore o da un utente. In questo caso, non è possibile accedere usando questo account o non è possibile usare questo account per avviare un servizio. Ciò potrebbe causare problemi di autenticazione coerenti perché può impedire l'accesso alle risorse o l'esecuzione di azioni che richiedono l'autenticazione.

    Soluzione: un amministratore di dominio può risolvere questo problema riabilitando l'account. Quando un account è disabilitato, è in genere perché un utente ha tentato di accedere con la password errata troppe volte o perché un'applicazione o un servizio sta tentando di usare una vecchia password.

  • Un account non è incluso nel gruppo : questo problema può verificarsi se un utente sta tentando di accedere a una risorsa limitata a un gruppo specifico.

    Soluzione: controllare gli account di accesso SQL per enumerare i gruppi consentiti e assicurarsi che l'utente appartenga a uno dei gruppi.

  • Migrazione dell'account non riuscita : se gli account utente precedenti non possono connettersi al server ma gli account appena creati possono, la migrazione dell'account potrebbe non essere corretta. Questo problema è correlato ad Active Directory Domain Services.

    Soluzione: per altre informazioni, vedere Trasferire account di accesso e password tra istanze di SQL Server.

  • Controller di dominio offline : si riferisce a un problema a causa del quale il controller di dominio non è accessibile.

    Soluzione: usare il nltest comando per forzare il passaggio del computer a un altro controller di dominio. Per altre informazioni, vedere ID evento di replica di Active Directory 2087: Errore di ricerca DNS che ha causato l'esito negativo della replica.

  • Il firewall blocca il controller di dominio: è possibile che si verifichino problemi quando si gestisce l'accesso dell'utente alle risorse.

    Soluzione: assicurarsi che il controller di dominio sia accessibile dal client o dal server. A tale scopo, usare il nltest /SC_QUERY:CONTOSO comando .

  • L'accesso proviene da un dominio non attendibile: questo problema è correlato al livello di attendibilità tra domini. Potrebbe essere visualizzato il messaggio di errore seguente: "Accesso non riuscito. L'account di accesso proviene da un dominio non attendibile e non può essere usato con autenticazione di Windows. (18452)."

    L'errore 18452 indica che l'account di accesso usa l'autenticazione di Windows, ma l'account di accesso è un'entità di windows non riconosciuta. Un'entità di sicurezza di Windows non riconosciuta indica che l'account di accesso non può essere verificato da Windows. Questo problema può verificarsi perché l'account di accesso di Windows proviene da un dominio non attendibile. Il livello di attendibilità tra domini può causare errori nell'autenticazione dell'account o la visibilità dei nomi del provider di servizi (SPN).

    Soluzione: per risolvere questo problema, vedere MSSQLSERVER_18452.

  • Nessuna autorizzazione per i gruppi tra domini: gli utenti del dominio remoto devono appartenere a un gruppo nel dominio di SQL Server. Potrebbe verificarsi un problema se si tenta di usare un gruppo locale di dominio per connettersi a un'istanza di SQL Server da un altro dominio.

    Soluzione: se i domini non dispongono di attendibilità corretta, l'aggiunta degli utenti in un gruppo nel dominio remoto potrebbe impedire al server di enumerare l'appartenenza al gruppo.

  • L'autenticazione selettiva è disabilitata : fa riferimento a una funzionalità di trust di dominio che consente all'amministratore di dominio di limitare gli utenti che hanno accesso alle risorse nel dominio remoto. Se l'autenticazione selettiva non è abilitata, tutti gli utenti nel dominio attendibile possono accedere al dominio remoto.

    Soluzione: per risolvere questo problema, abilitare l'autenticazione selettiva per assicurarsi che gli utenti non siano autorizzati ad eseguire l'autenticazione nel dominio remoto.

Autenticazione Kerberos

Questa sezione elenca i problemi relativi all'autenticazione Kerberos:

  • Un suffisso DNS non corretto viene aggiunto al nome NetBIOS: questo problema può verificarsi se si usa solo il nome NetBIOS (ad esempio, SQLPROD01) anziché il nome di dominio completo (FQDN), ad esempio SQLPROD01.CONTOSO.COM. In questo caso, è possibile aggiungere il suffisso DNS errato.

    Soluzione: controllare le impostazioni di rete per i suffissi predefiniti per assicurarsi che siano corretti o usare il nome di dominio completo per evitare problemi.

  • L'asimmetria dell'orologio è troppo elevata : questo problema può verificarsi se più dispositivi in una rete non sono sincronizzati. Per il funzionamento dell'autenticazione Kerberos, gli orologi tra i dispositivi non possono essere disattivati per più di cinque minuti o potrebbero verificarsi errori di autenticazione coerenti.

    Soluzione: configurare i computer per sincronizzare regolarmente gli orologi con un servizio ora centrale.

  • Delega di account sensibili ad altri servizi : alcuni account potrebbero essere contrassegnati come Sensitive in Servizi di dominio Active Directory. Questi account non possono essere delegati a un altro servizio in uno scenario a doppio hop. Gli account sensibili sono fondamentali per garantire la sicurezza, ma possono influire sull'autenticazione.

    Soluzione: per risolvere questo problema, vedere Accesso non riuscito per l'utente NT AUTHORITY\ANONYMOUS LOGON.

  • Delega a una condivisione file: fa riferimento a una situazione in cui un utente o un'applicazione delega le credenziali per accedere a una condivisione file. Senza vincoli appropriati, la delega delle credenziali a una condivisione file potrebbe comportare rischi per la sicurezza.

    Soluzione: per risolvere questo tipo di problema, assicurarsi di usare la delega vincolata.

  • Spazio dei nomi DNS non contiguo: fa riferimento a un problema di autenticazione coerente che può verificarsi se il suffisso DNS non corrisponde tra il membro di dominio e IL DNS. Se si usa uno spazio dei nomi non contiguo, è possibile che si verifichino problemi di autenticazione. Se la gerarchia organizzativa in Servizi di dominio Active Directory e in DNS non corrisponde, il nome SPN errato potrebbe essere generato se si usa il nome NETBIOS nell'applicazione di database stringa di connessione. In questo caso, il nome SPN non viene trovato e vengono usate le credenziali NTLM (New Technology LAN Manager) anziché le credenziali Kerberos.

    Soluzione: per attenuare il problema, usare il nome FQDN del server o specificare il nome SPN nel stringa di connessione. Per informazioni sul nome di dominio completo, vedere Denominazione computer.

  • SPN duplicato: fa riferimento a una situazione in cui due o più NOMI SPN sono identici all'interno di un dominio. I nomi SPN vengono usati per identificare in modo univoco i servizi in esecuzione nei server in un dominio Windows. I nomi SPN duplicati possono causare problemi di autenticazione.

    Soluzione: per risolvere questo problema, vedere Correggere l'errore con Kerberos Configuration Manager (scelta consigliata).

  • Abilitare le porte HTTP nei nomi SPN : in genere, i nomi SPN HTTP non usano numeri di porta ,ad esempio http/web01.contoso.com.

    Soluzione: per risolvere questo problema, è possibile abilitare questo problema usando i criteri nei client. Il nome SPN dovrà quindi essere nel http/web01.contoso.com:88 formato per consentire il corretto funzionamento di Kerberos. In caso contrario, vengono usate le credenziali NTLM.

    Le credenziali NTLM non sono consigliate perché potrebbero rendere difficile diagnosticare il problema. Inoltre, questa situazione potrebbe generare un sovraccarico amministrativo eccessivo.

  • Ticket scaduti: fa riferimento ai ticket Kerberos. L'uso di ticket Kerberos scaduti può causare problemi di autenticazione.

    Soluzione: per risolvere questo problema, vedere Ticket scaduti.

  • Il file HOSTS non è corretto : il file HOSTS può interrompere le ricerche DNS e potrebbe generare un nome SPN imprevisto. Questa situazione causa l'uso delle credenziali NTLM. Se un indirizzo IP imprevisto si trova nel file HOSTS, il nome SPN generato potrebbe non corrispondere al server back-end a cui punta.

    Soluzione: esaminare il file HOSTS e rimuovere le voci per il server. Le voci del file HOSTS vengono visualizzate nel report SQLCHECK.

  • Problema con le autorizzazioni SID (Per-Service Security Identifier) - Per-service-SID è una funzionalità di sicurezza di SQL Server che limita le connessioni locali per usare NTLM e non Kerberos come metodo di autenticazione. Il servizio può eseguire un singolo hop in un altro server usando le credenziali NTLM, ma non può essere delegato ulteriormente senza usare la delega vincolata. Per altre informazioni, vedere Accesso non riuscito per l'utente NT AUTHORITY\ANONYMOUS LOGON.

    Soluzione: per risolvere questo problema, l'amministratore di dominio deve configurare la delega vincolata.

  • Autenticazione in modalità kernel: il nome SPN nell'account del pool di app è in genere necessario per i server Web. Tuttavia, quando si usa l'autenticazione in modalità kernel, viene usato il nome SPN HOST del computer per l'autenticazione. Questa azione viene eseguita nel kernel. Questa impostazione può essere usata se il server ospita molti siti Web diversi che usano lo stesso URL di intestazione host, account del pool di app diversi e Autenticazione di Windows.

    Soluzione: rimuovere i nomi SPN HTTP se è abilitata l'autenticazione in modalità kernel.

  • Limitare i diritti di delega per Access o Excel : i provider JET (Joint Engine Technology) e Access Connectivity Engine (ACE) sono simili a uno qualsiasi dei file system. È necessario usare la delega vincolata per consentire a SQL Server di leggere i file che si trovano in un altro computer. In generale, il provider ACE non deve essere usato in un server collegato perché non è supportato in modo esplicito. Il provider JET è deprecato ed è disponibile solo nei computer a 32 bit.

    Note

    Quando SQL Server 2014, l'ultima versione per supportare le installazioni a 32 bit, esce dal supporto, lo scenario JET non sarà più supportato.

  • SPN mancante: questo problema può verificarsi se un nome SPN correlato a un'istanza di SQL Sever è assente.

    Soluzione: per altre informazioni, vedere Correggere l'errore con Kerberos Configuration Manager (scelta consigliata).

  • Non una destinazione vincolata: se la delega vincolata è abilitata per un determinato account del servizio, Kerberos avrà esito negativo se il nome SPN del server di destinazione non è incluso nell'elenco di destinazioni della delega vincolata.

    Soluzione: per risolvere questo problema, un amministratore di dominio deve aggiungere il nome SPN del server di destinazione agli SPN di destinazione dell'account del servizio di livello intermedio.

  • NTLM e delega vincolata: se la destinazione è una condivisione file, il tipo di delega dell'account del servizio di livello intermedio deve essere Vincolato-Any e non Kerberos vincolato. Se il tipo di delega è impostato su Constrained-Kerberos, l'account di livello intermedio può allocare solo a servizi specifici, ma Constrained-Any consente all'account del servizio di delegare a qualsiasi servizio.

    Soluzione: per risolvere questo problema, vedere Accesso non riuscito per l'utente NT AUTHORITY\ANONYMOUS LOGON.

  • L'account del servizio non può essere considerato attendibile per la delega in Active Directory: in uno scenario a doppio hop, l'account del servizio di livello intermedio deve essere considerato attendibile per la delega in Servizi di dominio Active Directory. Se l'account del servizio non è attendibile per la delega, l'autenticazione Kerberos può non riuscire.

    Soluzione: se si è un amministratore, abilitare l'opzione Attendibile per la delega .

  • Alcuni provider legacy non supportano Kerberos su Named Pipes : il provider OLE DB legacy (SQLOLEDB) e il provider ODBC (SQL Server) in bundle con Windows non offrono supporto per l'autenticazione Kerberos tramite named pipe. Supportano invece solo l'autenticazione NTLM.

    Soluzione: usare una connessione TCP per consentire l'autenticazione Kerberos. È anche possibile usare un driver più recente, ad esempio MSOLEDBSQL o ODBC Driver 17. Tuttavia, TCP è ancora preferibile rispetto a Named Pipes, indipendentemente dalla versione del driver.

  • SPN è associato a un account errato: questo problema può verificarsi se un nome SPN è associato all'account errato in Active Directory Domain Services. Per altre informazioni, vedere Correggere l'errore con Kerberos Configuration Manager (scelta consigliata).

    È possibile che venga visualizzato un messaggio di errore se il nome SPN è configurato nell'account errato in Active Directory Domain Services.

    Soluzione: per risolvere l'errore, seguire questa procedura:

    1. Usare SETSPN -Q spnName per individuare il nome SPN e il relativo account corrente.
    2. Usare SETSPN -D per eliminare i nomi SPN esistenti.
    3. SETSPN -S Usare per eseguire la migrazione del nome SPN all'account corretto.
  • L'alias SQL potrebbe non funzionare correttamente . Un alias di SQL Server potrebbe causare la generazione di un NOME SPN imprevisto. In questo modo, le credenziali NTLM hanno esito negativo se il nome SPN non viene trovato o un errore SSPI se corrisponde inavvertitamente al nome SPN di un altro server.

    Soluzione: gli alias SQL vengono visualizzati nel report SQLCHECK. Per risolvere il problema, identificare e correggere eventuali alias SQL non corretti o non configurati correttamente in modo che puntino al server SQL corretto.

  • L'utente appartiene a molti gruppi : se un utente appartiene a più gruppi, potrebbero verificarsi problemi di autenticazione in Kerberos. Se si usa Kerberos su UDP, l'intero token di sicurezza deve rientrare in un singolo pacchetto. Gli utenti che appartengono a molti gruppi hanno un token di sicurezza più grande rispetto agli utenti che appartengono a un numero inferiore di gruppi.

    Soluzione: se si usa Kerberos su TCP, è possibile aumentare l'impostazione [MaxTokenSize]. Per altre informazioni, vedere MaxTokenSize e Kerberos Token Bloat.

  • Usare l'intestazione host del sito Web: l'intestazione host HTTP svolge un ruolo molto importante nel protocollo HTTP per l'accesso alle pagine Web.

    Soluzione: se il sito Web ha un nome di intestazione host, non è possibile usare l'SPN HOSTS. È necessario usare un SPN HTTP esplicito. Se il sito Web non ha un nome di intestazione host, viene usato NTLM. NTLM non può essere delegato a un'istanza di SQL Server back-end o a un altro servizio.

NT LAN Manager (NTLM)

Questa sezione elenca i problemi specifici di NTLM (NT LAN Manager):

  • Accesso negato per gli account di accesso peer NTLM: si riferisce a un problema correlato agli account di accesso peer NTLM.

    Soluzione: quando si comunica tra computer che si trovano in workstation o domini che non si considerano attendibili, è possibile configurare account identici in entrambi i computer e usare l'autenticazione peer NTLM.

    Gli account di accesso funzionano solo se l'account utente e la password corrispondono in entrambi i computer. L'autenticazione NTLM potrebbe essere disabilitata o non supportata sul lato client o server. Questa situazione potrebbe causare errori di autenticazione. Per altre informazioni, vedere MSSQLSERVER_18456.

  • Scenari di doppio hop in più computer : un processo a doppio hop avrà esito negativo se vengono usate credenziali NTLM. Sono necessarie le credenziali Kerberos.

    Soluzione: per risolvere questo problema, vedere Accesso non riuscito per l'utente NT AUTHORITY\ANONYMOUS LOGON.

  • La protezione loopback non è impostata correttamente : la protezione loopback è progettata per impedire alle applicazioni di chiamare altri servizi nello stesso computer. Se la protezione del loopback non è configurata correttamente o in caso di malfunzionamento, questa situazione può causare indirettamente problemi di autenticazione.

    Soluzione: per risolvere questo problema, vedere MSSQLSERVER_18456.

  • La protezione del loopback non riesce quando ci si connette al listener Always-On: questo problema è correlato alla protezione del loopback. Quando ci si connette al listener Always-On dal nodo primario, la connessione usa l'autenticazione NTLM.

    Soluzione: per altre informazioni, vedere MSSQLSERVER_18456.

  • Problema che influisce sul livello di compatibilità LANMAN: il problema di autenticazione LAN Manager (LANMAN) si verifica in genere se esiste una mancata corrispondenza nei protocolli di autenticazione usati da computer precedenti (pre-Windows Server 2008) e versioni successive. Quando si imposta il livello di compatibilità su 5, NTLMv2 non è consentito.

    Soluzione: il passaggio a Kerberos evita questo problema perché Kerberos è più sicuro. Per altre informazioni, vedere Accesso non riuscito per l'utente NT AUTHORITY\ANONYMOUS LOGON.

Account di accesso SQL

Questa sezione elenca i problemi relativi alle credenziali di autenticazione:

  • Password non valida : si riferisce a un problema correlato all'accesso.

    Soluzione: per risolvere questo problema, vedere MSSQLSERVER_18456.

  • Nome utente non valido: fa riferimento a un problema correlato all'accesso.

    Soluzione: per risolvere questo problema, vedere MSSQLSERVER_18456.

  • Gli account di accesso di SQL Server non sono abilitati : si riferisce a uno scenario in cui si tenta di connettersi a un'istanza di Microsoft SQL Server usando l'autenticazione di SQL Server, ma l'account di accesso associato all'account è disabilitato.

    Soluzione: per risolvere questo problema, vedere MSSQLSERVER_18456.

  • Le connessioni Named Pipes hanno esito negativo perché l'utente non dispone dell'autorizzazione per accedere a Windows . Si riferisce a un problema di autorizzazioni in Windows.

    Soluzione: per risolvere questo problema, vedere Problemi di connessioni named pipe in SQL Server.

Autorizzazioni di Windows

Questa sezione elenca i problemi specifici delle autorizzazioni o delle impostazioni dei criteri di Windows:

  • L'accesso viene concesso tramite gruppi locali: se l'utente non appartiene a un gruppo locale usato per concedere l'accesso al server, il provider visualizza il messaggio di errore "Accesso non riuscito per l'utente 'contoso/user1'".

    Soluzione: l'amministratore del database può controllare questa situazione esaminando la cartella Account di accesso alla sicurezza>in SQL Server Management Studio (SSMS). Se il database è un database indipendente, controllare in databasename. Per altre informazioni, vedere Accesso non riuscito per l'utente '<username>' o accesso non riuscito per l'utente '<domain>\<username>'.

  • Credential Guard è abilitato : questo scenario indica che la funzionalità Credential Guard è abilitata in un sistema Windows e viene usata per creare un ambiente sicuro per archiviare le informazioni riservate. Tuttavia, in determinate situazioni, questa funzionalità potrebbe causare problemi di autenticazione.

    Soluzione: per risolvere questo problema, chiedere a un amministratore di dominio di configurare la delega vincolata. Per altre informazioni, vedere Considerazioni e problemi noti quando si usa Credential Guard.

  • Errori del sottosistema di sicurezza locale: quando si verificano errori del sottosistema di sicurezza locale, in particolare quelli collegati a LSASS che non rispondono, potrebbe indicare problemi sottostanti che influiscono sull'autenticazione.

    Soluzione: per risolvere questi errori, vedere Errori del sottosistema di sicurezza locale in SQL Server.

  • Accesso di rete non consentito : questo scenario si verifica quando si tenta di accedere a una rete, ma la richiesta di accesso viene negata per determinati motivi.

    Soluzione: per risolvere questo problema, vedere L'utente non dispone delle autorizzazioni per accedere alla rete.

  • Solo gli amministratori possono accedere : questo problema si verifica se il log di sicurezza in un computer è pieno e non dispone di spazio sufficiente per riempire gli eventi. La funzionalità di sicurezza CrashOnAuditFail viene usata dagli amministratori di sistema per controllare tutti gli eventi di sicurezza. I valori validi per CrashOnAuditFail sono 0, 1 e 2. Se la chiave per CrashOnAuditFail è impostata su 2, significa che il log di sicurezza è pieno e viene visualizzato il messaggio di errore "Solo gli amministratori possono accedere".

    Soluzione: Per risolvere il problema, seguire questa procedura:

    1. Avviare l'editor del Registro di sistema.
    2. Individuare e controllare la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa!crashonauditfail sottochiave per verificare se il valore è impostato su 2. Questo valore indica che il log di sicurezza richiede la cancellazione manuale.
    3. Impostare il valore su 0 e quindi riavviare il server. È anche possibile modificare il log di sicurezza per abilitare il rollover degli eventi. Per altre informazioni su come l'impostazione influisce su tutti i servizi, ad esempio SQL, IIS, condivisione file e accesso, vedere Impossibile accedere ai siti Web quando il registro eventi di sicurezza è pieno.

    Note

    Questo problema riguarda solo gli account di accesso integrati. Una connessione Named Pipes verrà interessata anche in un account di accesso di SQL Server perché Named Pipes accede prima a Windows Admin Pipe prima di connettersi a SQL Server.

  • L'account del servizio non è attendibile per la delega : questo tipo di problema si verifica in genere se un account del servizio non è autorizzato ad assegnare credenziali ad altri server. Questo problema può influire sui servizi che richiedono la delega.

    Soluzione: se uno scenario di delega non è abilitato, controllare SQL Server secpol.msc per determinare se l'account del servizio SQL Server è elencato in Criteri locali > Assegnazione > diritti utente Rappresenta un client dopo le impostazioni dei criteri di sicurezza di autenticazione . Per maggiori informazioni, consultare Abilitare gli account computer e utente come attendibili per la delega.

  • Il profilo utente di Windows non può essere caricato in SQL Server : si riferisce al problema del profilo utente di Windows.

    Soluzione: per altre informazioni su come risolvere i problemi relativi ai profili utente danneggiati, vedere Impossibile caricare il profilo utente di Windows in SQL Server.

Altri aspetti

Questa sezione elenca i problemi relativi all'autenticazione e al controllo di accesso all'interno di un ambiente Web:

  • L'autenticazione integrata non è abilitata : si riferisce a un problema di configurazione in cui l'autenticazione integrata di Windows non è configurata correttamente.

    Soluzione: per risolvere questo problema, assicurarsi che l'opzione Autenticazione integrata di Windows sia abilitata nelle impostazioni opzioni Internet.

  • Autenticazione IIS non consentita : questo problema si verifica a causa di configurazioni errate in IIS. Le impostazioni di autenticazione definite nel file Web.config dell'applicazione Web potrebbero essere in conflitto con le impostazioni configurate in IIS. Questa situazione può causare problemi di autenticazione.

    Soluzione: per risolvere questo problema, configurare il sito Web per abilitare l'autenticazione di Windows e impostare il <identity impersonate="true"/> valore nel file Web.config .

  • Area Internet errata: questo problema può verificarsi se si tenta di accedere a un sito Web che non si trova nell'area Internet corretta in Internet Explorer. Le credenziali non funzioneranno se il sito Web si trova nell'area Intranet locale.

    Soluzione: aggiungere il server Web all'area Intranet locale di Internet Explorer.

Dichiarazione di non responsabilità sulle informazioni di terze parti

I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti

Ulteriori informazioni

Raccogliere dati per risolvere i problemi di connettività di SQL Server