"Acesso negado" ao conectar o SSMS ao Integration Services

17

Recebo o seguinte erro ao tentar conectar o SSMS ao Integration Services usando o nome de rede de um cluster do SQL Server específico:

A conexão ao serviço Integration Services no computador 'FooDB' falhou com o seguinte erro: "Acesso negado".

Este erro ocorre quando o computador não foi configurado para permitir conexões remotas através do DCOM ou o usuário tem permissão para acessar o serviço SQL Server Integration Services através do DCOM.

Esse é um problema de rotina com uma solução bem documentada. Por exemplo, veja as soluções aqui e aqui .

No entanto, tentei todas as soluções que conheço e o problema permanece.

Mais detalhadamente, eu fiz o seguinte:

  • Verificou-se que os usuários que estão se conectando têm as permissões DCOM listadas nos artigos vinculados acima em MsDtsServer100:

    1. Permissões de inicialização e ativação: Permitir inicialização local, permitir inicialização remota, ativação local, ativação remota

    2. Permissões de acesso: Permitir acesso local, permitir acesso remoto

    3. Permissão de configuração: Permitir leitura

  • Confirmado com um sniffer de pacotes que todo o tráfego relacionado à conexão está vindo com êxito pelo firewall. O último pacote mostrado antes da queda da conexão TCP é uma resposta do servidor que contém o código de status do Windows para 'acesso negado' dentro de um cabeçalho MSRPC.

  • Testou a adição de usuários ao grupo 'Usuários COM Distribuídos' e / ou ao grupo de administradores locais e, em seguida, reiniciou os servidores. Isso permitiu que os usuários se conectassem ao SSIS a partir do SSMS usando os nomes de nós locais (FooDBN1, FooDBN2), mas ainda assim recebem um erro de 'acesso negado' ao se conectarem ao nome da rede de cluster (FooDB), que é o que estão acostumados. para usar e o que funciona em nossos outros clusters.

Além disso, não achei necessário alterar a associação desses grupos em outros clusters.

Nos outros clusters que verifiquei, posso conectar o SSMS ao SSIS usando o nome do cluster sem nenhuma configuração não padrão.

Sei que isso pode ser mais apropriado para ServerFault e estou bem com a pergunta sendo migrada, se necessário, mas também é um problema do SQL Server e acho que os usuários aqui podem ter mais chances de ter lidado com isso antes.

Detalhes da plataforma:

  • Windows Server 2008 R2 SP1
  • SQL Server 2008 R2 SP2
  • Cluster passivo ativo de 2 nós com uma única instância do SQL Server

Alguém poderia sugerir o que eu deveria olhar aqui a seguir?

Atualização : isso misteriosamente começou a funcionar hoje, mas apenas para membros do grupo de administradores locais. Nada mudou até onde eu sei.

sql-server  windows  ssis  permissions  clustering 
James L
fonte
11
Se você estiver usando o grupo Administradores, poderá estar sendo mordido pelo mascaramento de privilégios do UAC. Tente criar um novo grupo ou conceder permissões de usuário individuais diretamente no aplicativo SSIS DCOM.
db2
Se você tiver um cluster, os usuários deverão se conectar ao alias do cluster, não às máquinas individuais. É esse o caso?
Stoleg
Sim, eles devem estar usando o nome do cluster, não o nome do nó individual. No entanto, por algum motivo, o erro ocorre apenas ao usar o nome do cluster.
James L
Não temos o UAC ativado nos clientes ou no servidor, mas tentarei conceder permissões de DCOM a usuários individuais em vez de grupos e ver se isso faz alguma diferença. Atualmente, o problema não faz sentido para mim.
James L
OK, agora isso começou a funcionar de maneira inexplicável para todos que deveriam ter acesso com base nas permissões que concedi semanas atrás. Não faço ideia por que isso só começou a funcionar nos últimos dias. Portanto, o problema parece estar resolvido, mas não tenho idéia por que ele começou ou por que parou quando o fez. Meu palpite é que está relacionado a alterações de política de grupo sem aviso prévio.
James L

Respostas:

9

Possibilidade de tiro no escuro, mas vale a pena conferir o arquivo

\ Arquivos de Programas \ Microsoft SQL Server \ 100 \ DTS \ Binn \ MsDtsSrvr.ini

ou o equivalente em sua configuração. Pode ser necessário editá-lo manualmente com o nome da instância. Caso contrário, as conexões SSIS podem estar procurando um msdb de uma instância SQL padrão que não existe.

John Alan
fonte
11
Obrigado, mas eu já defini isso. Votado porque vale a pena mencionar.
James L
0

O problema tem algo a ver com permissões no servidor subjacente e não com o SSIS ou o MSDB. Nós tivemos o mesmo problema. A adição temporária da conta do usuário do AD ao grupo de administradores locais corrigiu isso para nós. A adição da conta do AD a usuários avançados ou usuários não; no entanto, estou certo de que poderíamos ter encontrado o que estava faltando na Diretiva de Segurança Local para que isso acontecesse.

PseudoToad
fonte
Adicionar à conta local também funcionou para mim, você pode sugerir o que poderia ser o motivo provável. Como este não poderia ser melhor prática
Saurabh Sinha
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.