//
você está lendo...
ARQUITETOS-ENGENGEIROS TI, SQL SERVER + AD

[ARTIGO TECHNET] Problema de Autenticação Kerberos e NTLM -> entre Autenticação AD + SQL Server, Login failed for user ‘NT AUTHORITY\ANONYMOUS LOGON’, com Um e Vários Domínios!

2019-05-19_01-05-34.png

Olá Ninjas e amantes da área, tudo bem!!

Nesse artigo, vamos compartilhar uma experiência que passamos de autenticação Kerberos + AD, seja em um único domínio e sub-domínios.

[LINK DO ARTIGO TECHNET]

https://social.technet.microsoft.com/wiki/pt-br/contents/articles/52880.problema-de-autenticacao-kerberos-e-ntlm-entre-autenticacao-ad-sql-server-login-failed-for-user-nt-authorityanonymous-logon-com-um-e-varios-dominios.aspx

[IMPORTANTE]

Esse artigo, foi criado e desenvolvido em conjunto com a equipe de Banco de Dados envolvida no problema, que são: André do Nascimento Vieira e Marcelo Bossa Godoy.

Também utilizamos como referência, o artigo do Dirceu Resende e Rodrigo Ribeiro Gomes.

Link do Artigo

Tivemos um problema em um cliente, no qual, fazia com que todos os Linked Servers que apontavam para algumas instâncias, começaram a apresentar o erro abaixo, tanto para tentar consultar dados quanto para tentar alterar objetos (como Stored Procedures) que utilizavam esse linked server.

  • DOS ERROS:

Abaixo ao realizar acesso via Linked Server.

1

Imagem01

3

Imagem02

Abaixo em não conseguir registrar os SPN, esse processo é criado automaticamente

2

Imagem03

Abaixo logs de Kerberos.

12 - cópia

Imagem04

Abaixo outro erro de Log Kerberos.

13

Imagem05

Estávamos com estes problemas em Servidores, do mesmo domínio e de outros domínios na mesma Floresta AD.

  • DO PROCESSO DE TROUBLESHOOTING

Abaixo alguns códigos de erros e o link microsoft:

Vimos que nos erros, estávamos com problema de configuração no:

  • SPN;
  • DNS;
  • Configurações Kerberos na conta de Computador e Usuário;

1

2

Imagem06

Link de todos os códigos Kerberos

1 – Utilizando uma query simples, conseguimos verificar a quantidade de conexões em cada modo de autenticação:

5

                                                                     Imagem07

Como vimos acima durante a análise, não havia nenhuma conexão utilizando a autenticação Kerberos, apenas SQL (quando você utiliza logins SQL Server para conectar no SQL Server) e NTLM (Conexão utilizando Autenticação Windows quando o Kerberos não está disponível).

Segundo passo importante é habilitar auditoria nos servidores envolvidos, desta forma, entender melhor o que está acontecendo.

2 – Ativar o log do Kerberos:

Criar a chave de registro LogLevel (DWORD) com o valor = 1 no endereço HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.

Imagem08

3 – Habilitar as contas de usuários e computador para Kerberos:

  • Conforme imagem abaixo habilitar, somente esta opção.

2019-05-19_18-57-30

                           Imagem09

  • Conforme imagem abaixo, não habilitar essas opções.

sql

                             Imagem10

  • Conforme imagem abaixo habilitar, somente esta opção.

serpro

                           Imagem11

4 – Verificar as contas no ADSIEDIT, Service Principal Name

22

                                 Imagem12

23

                                  Imagem13

25

                                                          Imagem14

Código do erro: 0x19 KDC_ERR_PREAUTH_REQUIRED

Quando consultamos na internet, podemos entender que esse erro é “normal” do Kerberos e pode ser ignorado. Sendo assim, analisei os servidores registrados no SPN da conta de serviço do SQL Server Database Engine, que é um usuário do AD no formato “DOMINIO\Usuario”:

Listando os SPNs registrados para o conta do AD que executa o serviço do SQL Server, conforme imagem03.

setspn -L DOMINIO\usuario

Caso não crie automaticamente, pode registrar manualmente os registros do SPN dessa instância da mesma forma que eles haviam sido registrados inicialmente.

setspn -A MSSQLSvc/INSTANCIA.dominio.local:porta DOMINIO\USUARIO
setspn -A MSSQLSvc/INSTANCIA.dominio.local:INSTANCIA DOMINIO\USUARIO

26

                                                      Imagem15

5 – Outro processo importante é a questão de DNS, sejam:

– HostA;

Verificar esses registros se estão OK.

– Pointer (Ptr);

Verificar esses registros se estão OK.

– Sufixo DNS;

Caso tenha sub-domínios ou florestas, importante inserir isso no processo. No processo abaixo temos: Floresta ARQENGTI.CORP, 02 subdomínios SP e RJ.

27

                                           Imagem16

6 – Permissão no AD para registar automaticamente SPN:

Permissões para a conta de Serviço:

Read public information.
Write public information.

2019-05-22_01-15-50

                                             Imagem17

  • DAS TELAS FINAIS DEPOIS DO PROCESSO TROUBLESHOOTING (SUCESSO)

Abaixo um query mais refinada, e com maiores detalhes (origem e destino).

16       

                                                   Imagem18

Abaixo query final, com conexões Kerberos (sucesso).

18 

                                                   Imagem19

Esperam que tenham gostado, vamos juntos!

#disseminarconhecimento

Abraços FOL!

Sobre Fábio FOL

Profissional com mais de 17 anos de experiência em empresas Multinacionais, de Petróleo,Governo Federal,Ministério de Minas e Energia e Centros Autorizados Microsoft.Experiência em ambientes 24/7 e de missão crítica,Site de Contingência, Relacionamento com parceiros.Atuação,Implantação e gerenciamento em projetos de Infraestrutura física e lógica, Wireless Corporativa e outros.Certificados da Microsoft, Itil e Pmbook (Projetos),todos relacionados com infraestrutura, Gerenciamento, Soluções voltadas para estações de trabalho, Clientes Corporativos e Servidores High End.Forte em liderança de pessoas, Itil Melhores Práticas em TI, Gerenciamento e Gestão de projetos, Mapeamento de processos.Conhecimentos avançados no pacote Office da Microsoft e produtos voltados para colaboradores corporativos como: SharePoint e Mensagem Instantânea. Criação de Projetos Básicos e SOX (Alinhamento de Processos). Conhecimento Avançados em Sistemas operacionais Server Windows e File Server Linux, Hardware de Computadores, Desenhos Técnicos, Cobit, tendo como foco Administração de Redes e Gestão. Enfim, ser sempre visionário e estar preparado para todos os recursos que a empresa possuir, sempre procurando agregar conhecimentos na busca incessante pela boa formação profissional, ainda, caso se faça necessário ajudar à integração e valoração da equipe, para que os benefícios venham como conseqüência, contudo, sinto-me preparado para o cargo em que no momento vislumbro junto à empresa a fim de contribuir com a sua trajetória, sendo parte integrante da mesma.

Discussão

Nenhum comentário ainda.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: