Sicherheit für Verbindungsserver

Aktualisiert: 12. Dezember 2006

Im Verlauf der Verbindung mit einem Verbindungsserver (z. B. beim Verarbeiten einer verteilten Abfrage) stellt der sendende Server einen Benutzernamen und ein Kennwort bereit, um eine Verbindung mit dem empfangenden Server in dessen Auftrag aufzubauen. Damit diese Verbindung funktioniert, müssen Sie mithilfe der gespeicherten Prozeduren von SQL Server eine Benutzernamenzuordnung zwischen den Verbindungsservern erstellen.

Benutzernamenzuordnungen für Verbindungsserver können mithilfe von sp_addlinkedsrvlogin hinzugefügt und mithilfe von sp_droplinkedsrvlogin entfernt werden. Eine Benutzernamenzuordnung für Verbindungsserver erstellt einen Remotebenutzernamen und ein Remotekennwort für einen angegebenen Verbindungsserver und einen lokalen Benutzernamen. Wenn SQL Server eine Verbindung mit einem Verbindungsserver herstellt, um eine verteilte Abfrage oder eine gespeicherte Prozedur auszuführen, sucht SQL Server nach Benutzernamenzuordnungen für den aktuellen Benutzernamen, der die Abfrage der Prozedur ausführt. Ist eine solche Benutzernamenzuordnung vorhanden, sendet SQL Server beim Herstellen der Verbindung mit dem Verbindungsserver den entsprechenden Remotebenutzernamen und das Remotekennwort.

Es wurde z. B. eine Zuordnung für einen Verbindungsserver S1 für einen lokalen Benutzernamen U1 zu einem Remotebenutzernamen U2 mithilfe des Remotekennwortes 8r4li034j7$ eingerichtet. Wenn der lokale Benutzername U1 eine verteilte Abfrage ausführt, die auf eine auf dem Verbindungsserver S1 gespeicherte Tabelle zugreift, werden U2 und 8r4li034j7$ als Benutzer-ID und Kennwort übergeben, wenn SQL Server eine Verbindung mit dem Verbindungsserver S1 herstellt.

Die Standardzuordnung für eine Verbindungsserverkonfiguration besteht darin, die aktuellen Sicherheitsanmeldeinformationen des Benutzernamens zu emulieren. Diese Art der Zuordnung wird als Selbstzuordnung bezeichnet. Wird ein Verbindungsserver mithilfe von sp_addlinkedserver hinzugefügt, wird für alle lokalen Benutzernamen eine standardmäßige Selbstzuordnung hinzugefügt. Wenn die Delegierung von Sicherheitskonten zur Verfügung steht und der Verbindungsserver Windows-Authentifizierung unterstützt, wird die Selbstzuordnung für Anmeldungen über die Windows-Authentifizierung unterstützt.

Hinweis:
Verwenden Sie nach Möglichkeit die Windows-Authentifizierung.

Wenn die Delegierung von Sicherheitskonten auf dem Client oder dem sendenden Server nicht verfügbar ist oder wenn der Verbindungsserver/Anbieter den Windows-Authentifizierungsmodus nicht erkennt, wird die Selbstzuordnung für Anmeldungen nicht unterstützt, die Windows-Authentifizierung verwenden. Deshalb müssen Sie eine lokale Benutzernamenzuordnung zwischen einem Benutzernamen, der Windows-Authentifizierung verwendet, und einem bestimmten Benutzernamen auf dem Verbindungsserver einrichten, der kein Windows-authentifizierter Benutzername ist. In diesem Fall verwendet die Remoteanmeldung SQL Server-Authentifizierung, wenn der Verbindungsserver eine Instanz von SQL Server ist.

Verteilte Abfragen unterliegen den Berechtigungen, die der Verbindungsserver dem Remotebenutzernamen für die Remotetabelle erteilt. SQL Server führt jedoch zur Kompilierungszeit keine Berechtigungsüberprüfungen aus. Verletzungen der Berechtigungen werden während der Ausführungszeit der Abfrage erkannt und vom Anbieter gemeldet.

Testen von Verbindungsservern

In SQL Server 2005 Service Pack 2 können Sie die Möglichkeiten zum Herstellen von Verbindungen mit einem Verbindungsserver testen. Klicken Sie im Objekt-Explorer mit der rechten Maustaste auf den Verbindungsserver, und klicken Sie dann auf Verbindung testen.

Siehe auch

Konzepte

Verbindungsserver
Konfigurieren von Verbindungsservern für die Delegierung

Andere Ressourcen

sp_addlinkedserver (Transact-SQL)
sp_addlinkedsrvlogin (Transact-SQL)
sp_droplinkedsrvlogin (Transact-SQL)
sp_dropserver (Transact-SQL)
sp_linkedservers (Transact-SQL)
sp_serveroption (Transact-SQL)

Hilfe und Informationen

Informationsquellen für SQL Server 2005

Änderungsverlauf