- 论坛徽章:
- 0
|
以下是从微软网站找到的一篇文章,看是否可以帮你解决问题:
---------------------------------------------------------------------------------------
您可能无法要通过使用匿名登录连接到 SQLServer 的实例
概要
当您将 NT AUTHORITY\\ANONYMOUS LOGON 登录添加到您的 Microsoft SQL Server 2000 或 Microsoft SQL Server 2005 实例以便接受匿名登录通过 Microsoft Windows 集成安全性的 SQLServer 实例和然后您尝试连接到 SQLServer 作为匿名用户实例的、 连接尝试可能不成功和可能收到以下错误信息:
对于用户\'(空)\'登录失败。 原因: 与可信 SQLServer 连接不关联。
此外, 系统事件日志中记录以下事件:
事件类型: 错误
LsaSrv 事件源:
事件类别: 无
事件 ID: 6033
日期: <Date>
时间: <Time>
用户: N/A
计算机: < 计算机名
说明:
从 < 计算机名连接一个匿名会话试图打开 LSA 策略柄此计算机上。 尝试与 STATUS _ ACCESS _ DENIED 以防止泄漏安全敏感信息匿名调用方被拒绝。
做此尝试应用程序需要修复。 请与应用程序供应商联系。 作为临时解决方法, 可以通过设置禁用此安全措施 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\TurnOffAnonymousBlock DWORD 值为 1。
当所有下列条件为真会发生此问题:• 运行 Microsoft Windows Server 2003 计算机上安装的 SQLServer 实例。
• 运行 SQLServer 实例的计算机是域中成员服务器。
• The HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\TurnOffAnonymousBlock 注册表值丢失或是未设置为 1。
• 网络访问允许匿名 SID / 名称转换 安全选项是运行 SQLServer 实例的计算机上未启用:。
回到顶端
原因
当您尝试连接到作为匿名用户, SQLServer 实例的匿名连接尝试打开 LSA 策略柄是运行 SQLServer 实例的计算机上。 默认, Windows Server 2003 成员服务器拒绝一个匿名连接尝试, 试图打开 LSA 策略柄如果 TurnOffAnonymousBlock 注册表值设置为 1。 因此, 匿名连接是不成功。 此外, SQLServer 收到, 匿名连接请求后 SQLServer 调用 LookupAccountSid WindowsAPI 函数来获取帐户名称。 如果 网络由于, 该匿名连接的上下文中调用该函数函数调用也失败访问允许未启用匿名 SID / 名称转换 安全选项:。
回到顶端
替代方法
警告 此变通办法可能导致计算机或网络更容易受到攻击由恶意用户或恶意软件如病毒。 我们不建议此变通方法, 以便您可以实现此解决办法由自己自行此信息仅供参考。 需要您自担风险使用此解决办法。
要变通解决此问题, 请运行 Windows Server 2003 为允许匿名连接到 SQL Server 2000 或 SQL Server 2005 计算机上执行这些步骤:1. 启用 网络访问在本地安全策略允许匿名 SID / 名称转换 安全选项:。 要这样做, 请按照下列步骤操作:a. 单击 开始 , 然后单击 控制面板 。
b. 双击 管理工具 , 并双击 本地安全策略 。
c. 在左窗格中, 展开 本地策略 , 然后单击 安全选项 。
d. 在右窗格中, 策略 列, 下找到并双击 允许匿名 SID / 名称转换: 网络访问。
e. 中网络访问允许匿名 SID / 名称转换 对话框中, 单击 启用 选项, 并单击 确定 :。
f. 关闭 本地安全设置 窗口。
g. 关闭 管理工具 窗口。
2. 设置 TurnOffAnonymousBlock DWORD 注册表值为 1。 为此, 请按照下列步骤操作。
警告 如果注册表编辑器使用不当, 可能会严重问题, 可能需要以重新安装操作系统。 Microsoft 无法保证您能解决因注册表编辑器使用不当而导致问题。 需要您自担风险使用注册表编辑器。a. 然后单击 确定 、 开始 , 键入 regedit , 和 运行 。
b. 在注册表编辑器, 找到并单击 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa 注册表项。
c. 在右窗格中, 找到并双击 TurnOffAnonymousBlock DWORD 注册表值。
如果 注意 TurnOffAnonymousBlock DWORD 注册表值不存在, 您必须创建注册表值。
d. 编辑 DWORD 值 对话框中, 在 值数据 框中, 键入 1 , 然后单击 确定 。
注意 默认情况下, 网络访问允许计算机充当域控制器上启用匿名 SID / 名称转换 安全选项:。 但是, 工作站和成员服务器上禁用安全选项。 不需要域控制器 TurnOffAnonymousBlock 注册表项以控制匿名连接尝试。 匿名连接尝试到的 SQLServer 实例, 因此如果您的 SQLServer 实例运行 WindowsServer 2003, 域控制器上安装执行不失败。
更多信息
在运行 Windows Server 2003, 计算机匿名连接而尝试访问该计算机上执行安全检查是更加严格。 如果创建 Microsoft ASP.NET 页是运行 MicrosoftInternet 信息服务 (IIS) 6.0 Web 服务器上使用 Windows 验证和模拟但无法委派用户帐户, 试图从 ASP.NET 页连接到 SQLServer 的远程实例位于 NT AUTHORITY\\ANONYMOUS LOGON 登录的安全上下文。 您可以配置您的 SQLServer 能够接受匿名连接通过 Windows 集成安全性由作为 SQLServer 用户添加 NT AUTHORITY\\ANONYMOUS LOGON 登录和向用户授予必需权限实例。 当将 NT AUTHORITY\\ANONYMOUS LOGON 登录添加到您的 SQLServer, 实例匿名连接可访问 SQLServer 数据而提供任何登录凭据。
要点 我们不建议允许匿名访问到 SQLServer。 可由任何用户能够连接到运行 SQLServer 计算机使用 NT AUTHORITY\\ANONYMOUS LOGON 登录都授予所有权限。 如果必须允许匿名访问到的 SQLServer, 您实例我们建议, NT AUTHORITY\\ANONYMOUS LOGON 登录到查看对要被公开可视 SQLServer 数据授予只读权限。 此外, 建议只 Execute 权限, 被授予 SQLServer 存储过程以执行有限操作。
而是允许匿名连接到您的 SQLServer, 实例, 可以授予对特定 SQLServer 帐户需要访问并且 ASP.NET 页面中连接字符串中传递对 SQLServer 帐户登录凭据。 使用 SQLServer 身份验证避免匿名连接尝试的 SQLServer 实例, 是更安全。
如果允许匿名 SID / 名称转换网络访问运行 WindowsServer 2003 计算机上启用安全选项, 谁可以建立网络连接到计算机所有用户可查找对于任何已知安全标识 (SID), 帐户名如管理员帐户: 。 到通过使用诸如密码猜测方法连接到服务器或锁定帐户与失败登录尝试恶意攻击者可能使用此信息。
如果设置是值 TurnOffAnonymousBlock 注册表值为 1, 匿名连接可打开句柄到策略用于本地安全机构。 有关 LSA 策略, 请访问以下 MSDN 网站:
http://msdn.microsoft.com/librar ... rity/lsa_policy.asp (http://msdn.microsoft.com/librar ... ity/lsa_policy.asp)
http://msdn.microsoft.com/librar ... sing_lsa_policy.asp (http://msdn.microsoft.com/librar ... ing_lsa_policy.asp)
http://msdn.microsoft.com/librar ... _policy_objects.asp (http://msdn.microsoft.com/librar ... policy_objects.asp)
http://msdn.microsoft.com/librar ... y_object_handle.asp (http://msdn.microsoft.com/librar ... _object_handle.asp) |
|
免费注册
发表于 2007-04-17 09:29
