Tengo una instancia con nombre SQL Server 2005 que usa la autenticación de Windows con grupos de dominio que sirven como inicios de sesión. Las estructuras de dominio son las siguientes:Cross Domain SQL Server Logins mediante la autenticación de Windows
Forest1 Forest2
/ \ |
Domain1 Domain2 Domain3
objetos se organizan en los siguientes dominios:
Forest1.Domain1
- Usuarios
- grupos globales
F orest1.Domain2
- instancia de SQL Server
- grupos locales de dominio (que sirven como inicios de sesión)
Forest2.Domain3
- Usuarios
- grupos globales
Todos mis usuarios existen en Domain1
y Domain3
pero el cuadro de SQL Server existe en Domain2
. Como tal, mis inicios de sesión son grupos de dominio en Domain2
. Cuando se agrega un usuario en Domain1
a un grupo local de dominio en Domain2
e intenta conectarse usando el protocolo TCP/IP para la instancia de SQL Server, recibe el siguiente mensaje de error:
Cannot connect to <instance>. Login failed for user 'Domain1\userName'. (Microsoft SQL Server, Error: 18456)
Otras cosas que he intentado:
Si añado al usuario como un inicio de sesión explícitamente, se puede conectar.
Si añado un grupo global de
Domain1
que el usuario es un miembro como un inicio de sesión explícitamente, se puede conectar.Si añado un grupo global de
Domain1
que el usuario es un miembro como miembro del grupoDomain2
dominio local utilizado como un inicio de sesión, no se puede conectar .EDIT: Si añado el grupo local
Domain2
dominio al grupo de usuarios Disminuir nivel de escritorio en el servidorDomain2
que aloja la instancia de SQL Server, el usuarioDomain1
puede conectarse correctamente al servidor - que también puede conectarse a la instancia localmente como el usuarioDomain1
(solo que no de forma remota).EDIT: Si añado el grupo local
Domain2
dominio a un grupo de servidores local y crear un inicio de sesión de SQL Server para ese grupo de servidores local, el usuarioDomain1
todavía no puede conectarse a la instancia remota.EDIT: Si cambio el protocolo de red de conexión en "canalizaciones", el usuario puede conectarse correctamente
Domain1
forma remota.
Por lo que entiendo (referencia a estos artículos de TechNet: Group Scope y Nesting Groups), el grupo de dominio debe ser un grupo local de dominio con el fin de incluir a usuarios de ambas Domain1
y Domain3
.
¿Cómo puedo utilizar un grupo de dominio como un inicio de sesión de SQL Server mediante la autenticación de Windows de tal manera que el grupo de dominio puede contener usuarios, tanto de Domain1
y Domain3
y los usuarios pueden conectarse de forma remota a través de TCP/IP?
NOTAS MÁS
- la cuenta de servicio de SQL Server que se denomina instancia es una cuenta de usuario en
Domain1
- de SPN se han añadido a la cuenta de servicio (que incluye el nombre del servidor de alias o nombres)
ACTUALIZACIÓN
Parece que la modificación de la cuenta del servicio de instancia de SQL Service en Domain2
ha resuelto el problema. Investigaré más a fondo y publicaré mis hallazgos.