Problembehandlung bei Fehlern bei "Anmeldung für Benutzer fehlgeschlagen"

  • Artikel
  • 4 Minuten Lesedauer

Hinweis

Bevor Sie mit der Problembehandlung beginnen, empfehlen wir Ihnen, die Voraussetzungen zu überprüfen und die allgemeine Prüfliste für die Schritte zur Problembehandlung von Verbindungsfehlern durchzugehen.

Gilt für:   SQL Server

Dieser Artikel enthält Informationen zur Problembehandlung, die Sie verwenden können, wenn Beim Versuch, eine Verbindung mit einer Instanz von Microsoft SQL Server herzustellen, verschiedene Fehlermeldungen vom Typ "Login failed for user" angezeigt werden. Benutzeranmeldungen können aus vielen Gründen fehlschlagen, z. B. ungültige Anmeldeinformationen, Kennwortablauf und Aktivieren des falschen Authentifizierungsmodus. In vielen Fällen enthalten Fehlercodes Beschreibungen. Die folgenden Beispiele sind einige der häufigsten Anmeldefehler. Wählen Sie den genauen Fehler aus, der auftritt, um das Problem zu beheben.

Anmeldefehler bei Benutzeranmeldung NT AUTHORITY\ANONYMOUS

Es gibt mindestens vier Szenarien für dieses Problem. Untersuchen Sie in der folgenden Tabelle jede zutreffende potenzielle Ursache, und verwenden Sie die entsprechende Auflösung.

Mögliche Ursachen Vorgeschlagene Auflösungen
Es gibt Double-Hop-Szenarien auf demselben Computer. Sie versuchen, einen doppelten Hop durchzuführen, aber NTLM-Anmeldeinformationen (New Technology LAN Manager) werden anstelle von Kerberos verwendet. Fügen Sie für Double-Hop-Szenarien auf demselben Computer die Registrierungseinträge "DisableLoopbackCheck " oder " BackConnectionHostNames " hinzu.
Es gibt Szenarien mit doppeltem Hop auf mehreren Computern. Der Fehler kann auftreten, wenn die Kerberos-Verbindung aufgrund von SpN-Problemen (Service Principal Names) fehlschlägt. Verwenden Sie Kerberos Configuration Manager für SQL Server, um zu überprüfen, ob doppelte oder falsch konfigurierte SPNs vorhanden sind. Weitere Informationen finden Sie unter Behandeln von Authentifizierungsfehlern aufgrund von Kerberos-Problemen.
Es ist kein doppelter Hop beteiligt. Wenn kein doppelter Hop beteiligt ist, kann dies bedeuten, dass doppelte SPNs vorhanden sind und der Client als LocalSystem oder ein anderes Computerkonto ausgeführt wird, das NTLM-Anmeldeinformationen anstelle von Kerberos-Anmeldeinformationen abruft. Verwenden Sie Kerberos Configuration Manager oder Setspn.exe , um SPN-bezogene Probleme zu diagnostizieren und zu beheben. Weitere Informationen finden Sie unter Problembehandlung bei Authentifizierungsfehlern aufgrund von Kerberos-Problemen  zur Diagnose und Behebung von SPN-Problemen.
Windows Richtlinie für lokale Sicherheit wurde möglicherweise so konfiguriert, dass die Verwendung des Computerkontos für Remoteauthentifizierungsanforderungen verhindert wird. Navigieren Sie zu "Local Security PolicyLocal > PoliciesSecurity > OptionsNetwork security:Allow Local System to use computer identity for NTLM", wählen Sie die Option "Enabled" aus, wenn die Einstellung deaktiviert ist, und wählen Sie dann "OK" aus. >

Hinweis: Wie auf der Registerkarte "Erläutern" beschrieben, ist diese Richtlinie standardmäßig in Windows 7 und neueren Versionen aktiviert.

Anmeldefehler für Benutzer '(null)'

Ein Hinweis auf "null" könnte bedeuten, dass der Subsystemdienst der lokalen Sicherheitsautorität (Local Security Authority Subsystem Service, LSASS) das Sicherheitstoken nicht mithilfe der Anmeldeinformationen SQL Server Dienstkontos entschlüsseln kann. Der Hauptgrund für diese Bedingung ist, dass der SPN dem falschen Konto zugeordnet ist.

So beheben Sie das Problem:

  1. Verwenden Sie den Kerberos Configuration Manager oder Setspn.exe , um SPN-bezogene Probleme zu diagnostizieren und zu beheben.

  2. Verwenden Sie die Kerberos Configuration Manager-Delegierungsregisterkarte, um zu überprüfen, ob das SQL-Dienstkonto für die Delegierung vertrauenswürdig ist. Wenn die Ausgabe angibt, dass das Konto für die Delegierung nicht vertrauenswürdig ist, arbeiten Sie mit Ihrem Active Directory-Administrator, um die Delegierung für das Konto zu aktivieren.

  3. Diagnostizieren und Beheben von Problemen bei der Dns-Namensauflösung (verwenden Sie das NSLookup- oder PowerShell-Beispiel):

    ping -a <your_target_machine> (Verwenden Sie -4 und -6 speziell für IPv4 und IPv6)

    ping -a <your_remote_IPAddress>

    nslookup (Geben Sie den Namen und die IP-Adresse Ihres lokalen computers und Remotecomputers mehrmals ein))

  4. Suchen Sie nach Abweichungen und Übereinstimmungen in den zurückgegebenen Ergebnissen. Die Genauigkeit der DNS-Konfiguration im Netzwerk ist wichtig für eine erfolgreiche SQL Server Verbindung. Ein falscher DNS-Eintrag kann später zahlreiche Konnektivitätsprobleme verursachen.

  5. Stellen Sie sicher, dass Firewalls oder andere Netzwerkgeräte nicht verhindern, dass ein Client eine Verbindung mit dem Domänencontroller herstellt. SPNs werden in Active Directory gespeichert. Wenn die Clients nicht mit dem Verzeichnis kommunizieren können, kann die Verbindung nicht erfolgreich sein.

Anmeldung für Benutzer fehlgeschlagen (leer)

Dieser Fehler tritt auf, wenn ein Benutzer versucht, sich nicht erfolgreich anzumelden. Dieser Fehler kann auftreten, wenn Ihr Computer nicht mit dem Netzwerk verbunden ist. Beispielsweise wird möglicherweise eine Fehlermeldung angezeigt, die dem folgenden Beispiel ähnelt:

Source: NETLOGON
Date: 8/12/2012 8:22:16 PM
Event ID: 5719
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: <computer name>
Description:This computer was not able to set up a secure session with a domain controller in domain due to the following: The remote procedure call was cancelled. This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator.

Eine leere Zeichenfolge bedeutet, dass SQL Server versucht haben, die Anmeldeinformationen an LSASS zu übergeben, dies aber aufgrund eines Problems nicht konnte. Entweder war LSASS nicht verfügbar, oder der Domänencontroller konnte nicht kontaktiert werden.

Überprüfen Sie die Ereignisprotokolle auf dem Client und dem Server auf alle Netzwerk- oder Active Directory-bezogenen Nachrichten, die zum Zeitpunkt des Fehlers protokolliert wurden. Wenn Sie eines finden, wenden Sie sich an Ihren Domänenadministrator, um die Probleme zu beheben.

Anmeldung für Benutzer '<username>' oder Anmeldung für Benutzer '<domain>\<username>' fehlgeschlagen'

Wenn der Domänenname nicht angegeben ist, ist das Problem ein fehlgeschlagener SQL Server Anmeldeversuch. Wenn der Domänenname angegeben ist, ist das Problem eine fehlerhafte Windows Benutzerkontoanmeldung. Mögliche Ursachen und Lösungsvorschläge finden Sie in der folgenden Tabelle:

Mögliche Ursache Vorgeschlagene Lösung
Die angeforderte Datenbank ist offline oder anderweitig nicht verfügbar. Überprüfen Sie die Berechtigungen und die Datenbankverfügbarkeit im SQL Server Management Studio.
Der Benutzer verfügt nicht über Berechtigungen für die angeforderte Datenbank. Versuchen Sie, eine Verbindung mit einem anderen Benutzer herzustellen, der über Sysadmin-Rechte verfügt.

Weitere Tipps finden Sie im Thema "Books Online" MSSQLSERVER 18456. Dieses Thema enthält weitere Informationen zu Fehlercodes. Überprüfen Sie außerdem die umfangreiche Liste der Fehlercodes  beiTroubleshooting Error 18456. (externer Link).

Weitere Hilfe zur Problembehandlung finden Sie unter Problembehandlung bei einheitlichen Authentifizierungsproblemen – CSS SQL Wiki.

Siehe auch