"Доступ заборонено" під час підключення SSMS до інтеграційних служб


17

Я отримую таку помилку при спробі підключення SSMS до інтеграційних служб за допомогою мережевого імені конкретного кластера SQL Server:

Підключення до послуги інтеграційних служб на комп’ютері "FooDB" не вдалося із наступною помилкою: "Доступ заборонено".

Ця помилка виникає, коли комп'ютер не налаштовано на віддалене з'єднання через DCOM або користувач має дозвіл на доступ до послуги інтеграції служб SQL Server через DCOM.

Це звичайна проблема із добре задокументованим рішенням. Наприклад, дивіться рішення тут і тут .

Однак я спробував усі відомі мені рішення, і проблема залишається.

Більш детально, я зробив наступне:

  • Перевірено, що користувачі, що підключаються, мають дозволи DCOM, перелічені в статтях, пов'язаних вище, на MsDtsServer100:

    1. Дозволи до запуску та активації: Дозволити локальний запуск, дозволити віддалений запуск, локальну активацію, віддалену активацію

    2. Дозволи доступу: Дозволити локальний доступ, дозволити віддалений доступ

    3. Дозвіл конфігурації: Дозволити читання

  • Підтверджено за допомогою sniffer пакету, що весь трафік, пов'язаний із з'єднанням, успішно проходить через брандмауер. Останній пакет, показаний перед розривом TCP-з'єднання, - це відповідь із сервера, що містить код статусу Windows для "доступу заборонено" всередині заголовка MSRPC.

  • Тестовано додавання користувачів до групи "Розподілені користувачі COM" та / або локальної групи адміністраторів, а потім перезапуск серверів. Це дозволило користувачам підключатися до SSIS із SSMS за допомогою імен локальних вузлів (FooDBN1, FooDBN2), але вони все одно отримують помилку "в доступі відмовлено" під час підключення до імені мережі кластера (FooDB), до чого вони звикли до використання та того, що працює на інших наших кластерах.

Крім того, я не знайшов необхідності зміни членства в цих групах в інших кластерах.

На інших кластерах, які я перевірив, я можу підключити SSMS до SSIS за допомогою імені кластера без будь-якої конфігурації, що не використовується за замовчуванням.

Я усвідомлюю, що це може бути більш підходящим для ServerFault, і я в порядку, якщо питання потрібно мігрувати, якщо це потрібно, але це також проблема SQL Server, і я думаю, що користувачі тут, швидше за все, мали справу з цим раніше.

Деталі платформи:

  • Windows Server 2008 R2 SP1
  • SQL Server 2008 R2 SP2
  • 2-вузловий активно-пасивний кластер з одним екземпляром SQL Server

Хтось може підказати, на що я повинен дивитись далі?

Оновлення : це загадково тільки що почало працювати сьогодні, але лише для членів групи місцевих адміністраторів. Наскільки я не можу сказати, нічого не змінилося.


1
Якщо ви використовуєте групу адміністраторів, вас можуть покусати маскування привілеїв UAC. Спробуйте створити нову групу або надайте індивідуальні дозволи користувача безпосередньо в додатку SSIS DCOM.
db2

Якщо у вас кластер, користувачі повинні підключатися до псевдоніму кластера, а не до окремих машин. Це так?
Stoleg

Так, вони повинні використовувати ім'я кластера, а не ім'я окремого вузла. Однак чомусь помилка трапляється лише під час використання імені кластера.
Джеймс Л

У нас не ввімкнено UAC на клієнтах або сервері, але я спробую надати дозволи DCOM окремим користувачам замість груп і побачити, чи це має значення. Наразі ця проблема для мене не має жодного сенсу.
Джеймс Л

Гаразд, тепер це просто незрозуміло почало працювати для всіх, хто мав би доступ на основі дозволів, які я надав тижнів тому. Я поняття не маю, чому це почало працювати лише за останні кілька днів. Тож проблема, здається, вирішена, але я поняття не маю, чому вона почалася або чому вона зупинилася, коли вона з'явилася. Я здогадуюсь, що це пов’язано з невідомими змінами групової політики.
Джеймс Л

Відповіді:


9

Можливо, довго, але варто перевірити файл

\ Файли програм \ Microsoft SQL Server \ 100 \ DTS \ Binn \ MsDtsSrvr.ini

або еквівалент вашої установки. Можливо, вам доведеться вручну відредагувати його з назвою екземпляра. Інакше підключення SSIS можуть шукати msdb типового екземпляра SQL, який не існує.


1
Дякую, але я це вже встановив. Оновлено, оскільки це варто згадати.
Джеймс Л

0

Проблема пов'язана з дозволами на базовому сервері, а не з SSIS або MSDB. У нас була така ж проблема. Тимчасове додавання облікового запису AD користувача до групи місцевих адміністраторів виправлено це за нами. Додавання свого акаунта AD до PowerUsers або користувачів не зробили; однак я впевнений, що ми могли б знайти те, чого не вистачало в політиці місцевої безпеки, щоб це відбулося.


Додавання до локального облікового запису також працювало для мене, чи можете ви підказати, що може бути причиною. Оскільки це не могло бути найкращою практикою
Саураб Сінга
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.