Discussion :

[OliverSleep]

Bonjour,

Auriez-vous une idée sur mon problème :
J'avais un serveur mssql 2012 sur une VM hors domaine.
Ce serveur a été rapatrié dans le domaine il y a peu de temps.
La connexion au serveur par authentification Windows (donc domaine) fonctionne.
Par contre, lorsque je souhaite créer un serveur lié et y accéder depuis un autre pc que le serveur j'ai une erreur.

Si j'accède à mon serveur lié depuis le serveur, tout fonctionne correctement.

Voici le message d'erreur obtenu :
Msg*18456, Niveau*14, État*1, Ligne*1
Échec de l'ouverture de session de l'utilisateur*'AUTORITE NT\ANONYMOUS LOGON'.


Donc ce qui donne :
PC requête vers Serveur1 OK
Serveur1 requête vers Serveur2 OK
PC requête vers Serveur1 requête vers Serveur2 KO

Comme si le Serveur 1 n'arrivait pas à garder mon authentification Windows lors de l'appel au serveur 2, donc celui-ci est appelé en anonyme donc refuse la connexion. Des tests ont été réalisés depuis plusieurs PC, ainsi qu'avec plusieurs logins (avec plus ou moins de droits).


Si vous avez déjà rencontré ce problème ou une idée sur le sujet je suis preneur.

Merci d'avance.

[mikedavem]

D'après la description de ton problème la délégation kerberos n'est pas activé sur ton environnement. Le jeton d'authentification de ton utilisateur ne peut pas être transmis correctement à ton serveur lié d'où le message d'erreur 'AUTORITE NT\ANONYMOUS LOGON'.

Pour que la délégation kerberos fonctionne il faut :

- paramétrer les SPN de chaque compte de service SQL de ta topologie (MSSQLSvc/hostname:port)
- Autoriser la délégation contrainte ou totale pour le service SQL de l'instance Serveur1 vers l'instance Serveur2

>> Pour plus de détail c'est par ici

++

[OliverSleep]

Bonjour,

Merci pour ce retour rapide.
Je vais regarder ce que tu m'as donné comme information et documentation.

Mais c'est quand même bizarre que la délégation d'authentification ne soit pas activée par défaut, est-ce le fait que ce serveur ai séjourné initialement hors domaine qui rendait cette fonctionnalité inactive ?

[mikedavem]

Mais c'est quand même bizarre que la délégation d'authentification ne soit pas activée par défaut, est-ce le fait que ce serveur ai séjourné initialement hors domaine qui rendait cette fonctionnalité inactive ?

La délégation de jetons d'authentification ne peut pas être activé par défaut car elle requiert une élévation de privilèges pour les comptes de service concernés (autorisation de délégation de jetons d'authentification).

La délégation kerberos ne fonctionne que dans une infrastructure capable de délivrer ce type de service. Avec Windows, c'est le contrôleur de domaine qui permet de délivrer le services de distribution de clés, le service d'authenfication et le service de tickets.

Si ton serveur n'est pas intégré dans un domaine Windows c'est NTLM qui sera utilisé comme protocole d'authentification. Ce protocole ne permet pas de faire de la délégation de jetons "by design"

++

[OliverSleep]

Merci pour ton aide, j'ai réactivé l'option KerberOS sur mon serveur dans le domaine, ce qui a tout résolu.