SSIS 2012 Remote Administrieren

Mit der Version SQL Server 2012 ist einiges sicherer geworden, aber nicht unbedingt einfacher. Wer mit seinem Management Studio remote auf die Integration Services auf einem Server zugreifen möchte und dort kein lokaler Admin ist, muss erst mal einige Hürden überwinden.

Zugriff verweigert

Starten wir mit der Fehlermeldung, die den ein oder anderen überrascht haben dürfte, da er als sysadmin doch eigentlich alles machen darf, oder?

Hier gibt es sie wahlweise in Englisch: Connecting to the Integration Services service on the computer "<Computer Name>" failed with the following error: "Access is denied."
By default, only administrators have access to the Integration Services service. On Windows Vista and later, the process must be running with administrative privileges in order to connect to the Integration Services service.

Oder auch auf Deutsch: Fehler bei der Verbindung mit den Integration Services Dienst auf dem Computer "<Computer Name>" :'Zugriff verweigert'.
Standardmäßig haben nur Administratoren Zugriff auf den Integration-Services-Dienst. Ab Windows Vista muss der Prozess mit Administratorprivilegien ausgeführt werden, damit eine Verbindung mit dem Integration-Services-Dienst hergestellt werden kann.

Hilfe aus der Online-Doku

Glücklicherweise ist dieses Thema in der Online-Doku behandelt worden. Unter dem Titel Herstellen einer Verbindung mit einem Integration Services-Remoteserver (SSIS-Dienst) findet sich die Anleitung im Abschnitt Entfernen der Fehlermeldung: "Der Zugriff wurde verweigert".

Man sollte sich aber nicht von dieser Überschrift irritieren lassen: So konfigurieren Sie Rechte für Remotebenutzer unter Windows Server 2003 bzw. Windows XP. Sie gilt auch für Server mit Windows Server 2008R2 und Clients mit Windows 7.

Weitergehende Beschreibung

Hier gibt es eine bebilderte Version dieser Beschreibung. Wichtig: Verbinden Sie sich Remote mit dem Server mit einem Konto was dort lokale Administratorrechte hat.

Wenn der Benutzer, dem Sie Zugriff gewähren wollen kein Mitglied der lokalen Gruppe Administratoren ist, fügen Sie den Benutzer der Gruppe Distributed COM-Benutzer hinzu. Sie können dazu das MMC-Snap-In Computerverwaltung verwenden, das über das Menü Verwaltung aufgerufen werden kann.

Als nächstes öffnen Sie die Systemsteuerung, doppelklicken Sie auf Verwaltung, und doppelklicken Sie anschließend auf Komponentendienste, um das MMC-Snap-In Komponentendienste zu starten. Alternativ kann das Programm direkt über dcomcnfg.exe aufgerufen werden.

Erweitern Sie im linken Bereich der Konsole den Knoten Komponentendienste. Erweitern Sie den Knoten Computer, erweitern Sie Arbeitsplatz, und klicken Sie anschließend auf den Knoten DCOM-Konfiguration.

Wählen Sie den Knoten DCOM-Konfiguration aus, und wählen Sie anschließend in der Liste der Anwendungen, die konfiguriert werden können, "SQL Server Integration Services 11.0" aus.

Klicken Sie mit der rechten Maustaste auf "SQL Server Integration Services 11.0", und klicken Sie dann auf Eigenschaften.

Wählen Sie im Dialogfeld für die Eigenschaften von SQL Server Integration Services 11.0 die Registerkarte Sicherheit aus.

Wählen Sie als erstes unter Start- und Aktivierungsberechtigungen die Option Anpassen aus, und klicken Sie auf Bearbeiten, um das Dialogfeld Startberechtigung zu öffnen.

Fügen Sie im Dialogfeld Startberechtigung Benutzer hinzu, oder löschen Sie Benutzer, und weisen Sie die entsprechenden Berechtigungen den passenden Benutzern und Gruppen zu. Die verfügbaren Berechtigungen sind Lokaler Start, Remotestart, Lokale Aktivierung und Remoteaktivierung. Die Startrechte erteilen oder verweigern die Berechtigung zum Starten und Beenden des Diensts, während die Aktivierungsrechte die Berechtigung zum Herstellen einer Verbindung mit dem Dienst erteilen oder verweigern.

Klicken Sie auf OK, um das Dialogfeld zu schließen.

Wiederholen Sie die Schritte für die Punkte 2 und 3, um den Benutzern und Gruppen die geeigneten Berechtigungen zuzuweisen.

Schließen Sie das MMC-Snap-In.

Starten Sie den Integration Services-Dienst neu.

Ab jetzt sollten Sie sich auch remote mit den Integration Services 11 auf dem Server verbinden können.

  • aon1961
    Kommentar von: aon1961
    16.01.17 @ 09:01:13

    Hallo, ich bin gemäß den Vorgaben vorgegangen dennoch bekomme ich die Felermeldung, dass keine Berechtigungen vorliegen. Reicht es aus den Dienst der Ingegration Services zu restarten oder sollte der SQL-Server auch neu gestartet werden. Gruß Rainer

  • Kommentar von: cmu
    16.01.17 @ 09:07:52

    Hallo Rainer, es reicht die Integration Services neu zu starten. Ähnliches hatte ich auch letzte Woche beim Versuch eine Windows-Gruppe zu berechtigen. Mit einem einzelnen Account ging es aber.

  • aon1961
    Kommentar von: aon1961
    16.01.17 @ 09:13:27

    Mensch, das ging aber schnell! Leider tritt nach dem Start des Agent-Jobs der folgende Fehler auf: Ausgeführt als Benutzer: ''WINDOM\Mediatrix-SSIS-Expor''. Microsoft (R) SQL Server-Paketausführungsprogramm Version 11.0.6020.0 for 64-bit Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten. Gestartet: 08:55:07 Das Paket '\MSDB\ZeigeLoginsDesLetztenTages' konnte aufgrund von Fehler 0x80131500 nicht geladen werden. Beschreibung: Die in der SSIS-Dienstkonfiguration angegebene SQL Server-Instanz ist nicht vorhanden oder nicht verfügbar. Dies geschieht, wenn keine Standardinstanz von SQL Server auf dem Computer vorhanden ist. Weitere Informationen finden Sie im Thema zum Konfigurieren von Integration Services in der SQL Server 2012-Onlinedokumentation. Fehler bei der Anmeldung für den Benutzer 'WINDOM\Mediatrix-SSIS-Expor'. Quelle: MsDtsSrvr Gestartet: 08:55:07 Beendet: 08:55:07 Verstrichen: 0.094 Sekunden. Das Paket konnte nicht geladen werden. Fehler bei Schritt. Gruß Rainer :)

  • Kommentar von: cmu
    16.01.17 @ 09:56:57

    Hast Du auch den Service-Account geändert? Das darf man auf jeden Fall nur über den Server Configuration Manager machen. Für eine detailliertere Diskussion, die meiner Meinung über die in diesem Artikel beschriebene Einstellung hinausgeht empfehle ich das SQL Server Forum von Microsoft.

  • aon1961
    Kommentar von: aon1961
    16.01.17 @ 10:02:35

    Hallo Christoph, vielen Dank für die fixe Antwort. Welchen Service-Account meinst Du? Im Moment stehe ich da etwas auf dem Schlauch. Viele Grüße aus der Pfalz Rainer :)

  • Kommentar von: cmu
    20.01.17 @ 07:39:52

    Gemeint war hier der Service-Account vom SSIS. Im MSDN Forum konnten wir dann noch klären, dass auch die Berechtigungen in der msdb stimmen müssen, wenn ein Proxy-Konto funktionieren soll. Details dazu hier: SSIS für Nicht Sysadmins.

Einen Kommentar hinterlassen

Sie müssen eingeloggt sein, um einen Kommentar zu hinterlassen. Jetzt einloggen!

Sie haben noch kein Konto. Sie können sich jetzt registrieren...
(Es dauert nur ein paar Sekunden!)