Conecte-se ao SQL Server com autenticação do Windows em um domínio diferente

Estou tentando conectar-me a um SQL Server remoto em uma VPN em um domínio diferente. Quando insiro o nome do servidor no SQL Server e escolho Parâmetros de conexão adicionais para adicionar algumas coisas extras necessárias à minha escola:

Integrated Security=SSPI; User ID=DOMAIN\username; Password=Password

Estou tendo o erro a seguir:

Falha na autenticação. O logon é de um domínio não confiável e não pode ser usado com autenticação do Windows.

sql-server authentication logins

— fxuser
fonte

O único problema com a solução do Windows Credential Manager é que, se você tem um monte de banco de dados, é necessário ter uma entrada para cada um e atualizá-los sempre que atualizar suas senhas de domínio. Para algumas pessoas, isso pode ser a cada 30 a 60 dias.

— smehaffie

Este post está um pouco relacionado.

— RBT

@smehaffie, você pode facilmente usar scripts e o comando "cmdkey / add" para manter suas senhas - ele também é atualizado.

— Mister Magoo 28/08

Respostas:

Você está tentando passar credenciais do Windows em texto sem formatação a partir da cadeia de conexão de um aplicativo. Simplesmente não é assim que a autenticação do Windows funciona e derrota amplamente o objetivo.

Você também não pode simplesmente criar o mesmo nome de usuário com a mesma senha em seu próprio domínio e esperar que funcione magicamente. O nome do domínio ainda faz parte da validação - sua máquina precisa fazer parte do domínio ou o domínio em que ela está deve ser confiável pelo domínio da escola.

A única solução alternativa que conheço é o SSMS, e esse é o runas /netonlytruque descrito nesta resposta . Isso engana o Windows a iniciar o SSMS como o logon especificado, e não o seu próprio (isso não é algo que você pode definir na caixa de diálogo Propriedades de conexão do SSMS, é como você precisa iniciar o SSMS a partir da linha de comando ou de um atalho):

runas /netonly /user:domain\username "C:\path_to\ssms.exe"

Isso solicitará sua senha no domínio remoto. Ele vai olhar como ele está usando suas credenciais locais do Windows, mas não é .

É possível que funcione também com o Visual Studio, mas eu realmente não sei.

Então, suas opções são:

a universidade permite que você associe sua máquina ao domínio
a universidade adicione seu domínio como confiável
tem uma caixa de salto dentro da VPN que permite fazer RDP e usar ferramentas conectadas diretamente à máquina do SQL Server
use autenticação SQL
tente o runas /netonlytruque com o Visual Studio
basta usar o runas /netonlytruque com SSMS

— Aaron Bertrand
fonte

A runascoisa não trabalhar com o Visual Studio.

— Daniel Hutmacher

Existe uma maneira de imitar esse comportamento sem o prompt de comando?

— Gilles Lesire

@Gilles você pode fazer um arquivo de lote e clique duas vezes no arquivo de lote, ou você poderia usar essa seqüência e criar um atalho talvez

— Aaron Bertrand

103

Existe outra maneira, que agora uso preferencialmente ao runas /netonlymétodo.

Você pode adicionar as credenciais ao seu perfil no Windows usando o Credential Manager encontrado no painel de controle do Windows.

Abra o Gerenciador de credenciais
Clique em "Adicionar uma credencial do Windows"
Preencha o campo "endereço da Internet ou de rede" com o nome e o número da porta da instância SQL para a qual você deseja armazenar credenciais.

Exemplo: UniServer:1433(1433 é a porta padrão, você pode precisar de uma porta diferente, especialmente se estiver se conectando a uma instância nomeada)
Preencha o "Nome de usuário" (não se esqueça de incluir o domínio, por exemplo MYDOMAIN\MYUSER)
Preencha a "Senha"
Clique OK

Se você tiver o nome do servidor, a porta e os detalhes de login corretos, agora poderá usar a Autenticação do Windows na maioria das ferramentas clientes, SSMS, Excel, qualquer que seja. Todos eles usarão as credenciais armazenadas.

Dica: Às vezes, você precisa usar o FQN para o servidor ao adicionar as credenciais. por exemplo UniServer.UniDomain.org:1433, tudo depende dos detalhes da sua rede.

Aqui está uma rápida demonstração do método: http://youtu.be/WiVBPsqB9b4

É uma captura de tela minha tentando (e falhando) conectar-me a um SQL Server executando em uma VM da minha área de trabalho, adicionando as credenciais necessárias e tentando novamente - com êxito.

Dica: use o comando "cmdkey / add" para criar scripts e atualizar credenciais armazenadas.

— Senhor Magoo
fonte

Interessante! Parece depender do que a máquina cliente pensa que a máquina remota é chamada, e não do que realmente pode ser chamada. Eu coloquei uma entrada inventada ("verysillytest.mwardm") no meu arquivo host para o endereço IP (como costumamos acessar de fora de domínios) e configurei a credencial no nome "verysillytest.mwardm: 1433 ". Posso conectar-me com alegria (a partir de um pequeno aplicativo chamado Query Express) usando o nome do host ou o endereço IP.

— mwardm

@mwardm sim, é por isso que recomendo usar ping ou nslookup, pois ele informará o nome exatamente como você precisa, incluindo detalhes em maiúsculas / minúsculas.

— Mister Magoo 28/10

Ah, bem, "ping -a" não me deu nada e o nslookup não funcionou (imediatamente) porque eu não estava usando os servidores DNS do domínio. Não se preocupe, na verdade prefiro a flexibilidade de apenas saber o endereço IP (e o login) e poder criar meu próprio nome!

— mwardm

Incrível, funciona! Eu apenas me pergunto - ele deveria funcionar assim ou é um bug ou um design falhar no lado do SQL Server? A Microsoft ou pessoas da Microsoft anunciam em todos os lugares que você precisa ter uma máquina conectada ao domínio; caso contrário, não há como se conectar ao SQL Server configurado para aceitar apenas as credenciais do domínio.

— Dawid Ferenczy Rogožan

BTW, eu diria que essa resposta deve ser marcada como aceita, pois parece ser uma solução real e a outra resposta é mais uma solução alternativa.

— Dawid Ferenczy Rogožan