Ceci est un test

il vaut
quand même mieux garder à  jour vos
packs de service. En plus des serveurs,
vous devez installer le Win2K Server
Resource Kit sur les systèmes Win2K
Pro et SQL Server. Deux utilitaires de
kits de ressources, KerbTray et setspn,
permettent de voir le contenu des tickets
Kerberos.

Après avoir configuré le SPN et vérifié
que le service SQL Server a une
entrée dans l’AD, vous devez vous assurer
que le compte que vous utiliserez
sur le client peut se connecter à 
SQL Server. Le moyen le plus simple
consiste à  utiliser Query Analyzer et un
compte Win2K/NT pour la connexion.
Pour vérifier que les logins SQL Server
ne causent pas d’ennuis, configurez
SQL Server pour qu’il n’accepte que
des logins authentifiés Win2K/NT. Si ce
test de connexion est concluant, c’est
la preuve que l’utilisateur peut s’authentifier
correctement.

Les étapes suivantes déterminent
si l’ordinateur client utilise Kerberos
pour l’authentification. Sur le client,
trouvez l’outil KerbTray dans la liste
des outils du kit de ressource et ouvrez-
le pour voir la liste des tickets présents
dans la cache de tickets de l’ordinateur
local. Assurez-vous qu’il y a un
ticket pour le SQL Server. Répétez
l’opération sur l’ordinateur SQL Server
pour vérifier qu’il y a un ticket pour le
client. Enfin, dans Query Analyzer, exécutez
SELECT SUSER_SNAME() pour
trouver si le SID du compte client est
l’ID login. Pour les logins SQL Server, le
SUID (system user ID) sera vierge,
donc si vous voyez un SID, vous savez
que vous êtes connecté avec un login
Win2K/NT.

Vous pouvez recueillir davantage
d’informations sur le processus d’authentification
en activant l’audit des
événements de login et le logging des
événements Kerberos. Si vous activez
l’audit des événements de login au
moyen de la domain policy, vous pourrez
voir les événements sur tous les serveurs du domaine. Pour activer le
logging des événements Kerberos, il
faut ajouter la sous-clé suivante au
registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Dans la sous-clé Parameters, ajoutez
une valeur DWORD nommée
LogLevel et mettez la valeur à  1. Vous
devez ajouter ces entrées à  chaque serveur
pour lequel vous voulez journaliser
les événements Kerberos. Après
avoir redémarré le serveur, vous pourrez
voir ces événements dans le log
System Event.

Si vous avez du mal à  amener le
client à  utiliser l’authentification
Kerberos, vérifiez d’abord la configuration
SPN. Si vous ne configurez pas le
SPN correctement, le protocole d’authentification
Windows se réinstaure.
Autre problème potentiel : les permissions
accordées aux ordinateurs et au
compte client. Les règles local, domain
et group appliquées aux ordinateurs et
aux comptes impliqués peuvent vous
empêcher de vous connecter à  SQL
Server. S’il vous semble que les règles
présentent des problèmes, les paramètres
liés à  la sécurité sont la cause la
plus probable.