Ereigniskennung 33565 und SQL Server wird nach dem Aktivieren der Verschlüsselung nicht gestartet

Gilt für:   SQL Server

Problembeschreibung

In Microsoft SQL Server Configuration Manager müssen Sie ein serverseitiges Zertifikat bereitstellen und die Verschlüsselung aktivieren. Wenn Sie den Dienststeuerungs-Manager zum Starten des SQL Server verwenden, wird der Dienst nicht gestartet, und die folgende Fehlermeldung wird angezeigt:

Windows could not start the SQL Server (MSSQLSERVER) on Local Computer. For more information, review the System Event Log.
If this is a non-Microsoft service, contact the service vendor, and refer to service-specific error code -2146885628.

Lösung

  1. Überprüfen Sie das Anwendungsereignisprotokoll, und stellen Sie sicher, dass zwei Ereigniseinträge angezeigt werden, die etwa wie folgt aussehen:

    Log Name: Application
    Source: MSSQLSERVER
    Date: <Datetime>
    Event ID: 26010
    Task Category: Server
    Level: Information
    Keywords: Classic
    User: N/A
    Computer: <Server name>
    Description: The server could not load the certificate it needs to initiate an SSL connection. It returned the following error: 0x8009030d. Check certificates to make sure they are valid.

    Log Name: Application
    Source: MSSQLSERVER
    Date: <Datetime>
    Event ID: 33565
    Task Category: Server
    Level: Error
    Keywords: Classic
    User: N/A
    Computer: <Server name>
    Description: Found the certificate [Cert Hash(sha1) "<Cert Hash number>"] in the local computer store but the SQL Server service account does not have access to it.

  2. Wenn beide Ereignisse 26010 und 33565 zu sehen sind, führen Sie die folgenden Schritte aus:

    Hinweis

    • Die beiden Ereignisse geben an, dass SQL Server Dienstkonto nicht über Berechtigungen für das Zertifikat verfügt, das in Configuration Manager bereitgestellt wird. Sie müssen dem Dienstkonto die erforderlichen Berechtigungen zuweisen, um dieses Problem zu beheben.
    • Wenn sie nicht sowohl Ereignis 26010 als auch 33565 sehen, wird möglicherweise ein anderes Problem auftreten, das in diesem Artikel nicht behandelt wird.
    1. Wählen Sie > "Ausführen starten" aus, geben Sie mmc ein, und öffnen Sie dann das Zertifikat-Snap-In in der MMC-Konsole.

    2. Wählen Sie im Menü "Konsole" die Option "Snap-In hinzufügen/entfernen" aus.

    3. Wählen Sie > "Zertifikate hinzufügen" und dann erneut "Hinzufügen" aus.

      Hinweis

      Sie werden aufgefordert, das Snap-In für den aktuellen Benutzer, Dienst oder das aktuelle Computerkonto zu öffnen.

    4. Wählen Sie das Computerkonto aus.

    5. Wählen Sie "Lokaler Computer" und dann "Fertig stellen" aus.

    6. Wählen Sie im Dialogfeld "Eigenständiges Snap-In hinzufügen" die Option "Schließen" aus.

    7. Wählen Sie im Dialogfeld "Snap-In hinzufügen/entfernen" die Option "OK" aus.

      Hinweis

      Ihre installierten Zertifikate befinden sich im Ordner "Zertifikate" im persönlichen Container.

    8. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie "Alle Aufgaben Verwalten privater Schlüssel" aus, und erteilen Sie dem SQL Server > Berechtigungen.

Referenz

Aktivieren verschlüsselter Verbindungen mit dem Datenbankmodul