Windows

SQL Server 上的未知 Kerberos 身份驗證模式

  • January 7, 2010

我們的一位管理員在我們的一個 SQL Server 上的 Windows 事件日誌中註意到了一種奇怪的登錄消息模式,經過一番調查,我發現在我們的大多數(但不是全部)SQL 上都可以找到相同的模式伺服器。但是,我似乎無法找到來源。

圖案:

  • 與 Kerberos 身份驗證相關的一系列四條消息每 29 分鐘在受影響的伺服器上出現。(不,這不是錯字。)
  • 該系列是 Windows 2003 和更早版本上的事件 ID 552、540、576 和 538(按此順序)。在 Windows 2008 上,該系列為 4648、4624、4672 和 4634。
  • 該系列的第一條消息說 SQL Server 的服務帳戶正在使用我的憑據通過 Kerberos 進行身份驗證。
  • 第二條和第三條消息與使用我的憑據通過 Kerberos 登錄和授予的權限有關。
  • 第四個消息是註銷。
  • 該系列總是在 1 秒內發生。

我已經消除了我能想到的一切:

  • Windows 事件日誌中沒有其他消息與這些消息相關。
  • SQL Server 日誌中沒有與消息相關的消息。
  • 沒有 SQL Server 代理作業在該調度程序上執行。
  • 任務計劃程序在任何受影響的伺服器上都沒有作業。
  • 我們的第 3 方作業計劃程序沒有任何按該計劃執行的作業,也沒有我的憑據。
  • 我一度懷疑我們使用的是第 3 方顯示器,但即使顯示器完全關閉,也會產生這些消息。
  • 沒有使用其他具有服務帳戶憑據或我的憑據的第三方監視器。
  • 我們的連結伺服器使用 SQL Server 身份驗證,而不是 Windows 身份驗證。
  • 這些伺服器混合了 SQL Server 2000、2005 和 2008,因此它不能與任何更新的 SQL Server 技術(例如 Service Broker)相關。

有沒有人有任何其他建議來檢查以找到這些消息的原因?

我通過執行不同的伺服器端跟踪找到了答案。SQL Server 代理中的作業向作業系統請求資訊,這導致它向 Windows 驗證作業所有者。某些東西(Windows 或 SQL)顯然正在記憶體此身份驗證,因此它不必頻繁訪問 Kerberos;29 分鐘間隔必須是此記憶體的超時時間。

謝謝大家,你們的幫助!

引用自:https://serverfault.com/questions/100214