Windows
SQL Server 上的未知 Kerberos 身份驗證模式
我們的一位管理員在我們的一個 SQL Server 上的 Windows 事件日誌中註意到了一種奇怪的登錄消息模式,經過一番調查,我發現在我們的大多數(但不是全部)SQL 上都可以找到相同的模式伺服器。但是,我似乎無法找到來源。
圖案:
- 與 Kerberos 身份驗證相關的一系列四條消息每 29 分鐘在受影響的伺服器上出現。(不,這不是錯字。)
- 該系列是 Windows 2003 和更早版本上的事件 ID 552、540、576 和 538(按此順序)。在 Windows 2008 上,該系列為 4648、4624、4672 和 4634。
- 該系列的第一條消息說 SQL Server 的服務帳戶正在使用我的憑據通過 Kerberos 進行身份驗證。
- 第二條和第三條消息與使用我的憑據通過 Kerberos 登錄和授予的權限有關。
- 第四個消息是註銷。
- 該系列總是在 1 秒內發生。
我已經消除了我能想到的一切:
- Windows 事件日誌中沒有其他消息與這些消息相關。
- SQL Server 日誌中沒有與消息相關的消息。
- 沒有 SQL Server 代理作業在該調度程序上執行。
- 任務計劃程序在任何受影響的伺服器上都沒有作業。
- 我們的第 3 方作業計劃程序沒有任何按該計劃執行的作業,也沒有我的憑據。
- 我一度懷疑我們使用的是第 3 方顯示器,但即使顯示器完全關閉,也會產生這些消息。
- 沒有使用其他具有服務帳戶憑據或我的憑據的第三方監視器。
- 我們的連結伺服器使用 SQL Server 身份驗證,而不是 Windows 身份驗證。
- 這些伺服器混合了 SQL Server 2000、2005 和 2008,因此它不能與任何更新的 SQL Server 技術(例如 Service Broker)相關。
有沒有人有任何其他建議來檢查以找到這些消息的原因?
我通過執行不同的伺服器端跟踪找到了答案。SQL Server 代理中的作業向作業系統請求資訊,這導致它向 Windows 驗證作業所有者。某些東西(Windows 或 SQL)顯然正在記憶體此身份驗證,因此它不必頻繁訪問 Kerberos;29 分鐘間隔必須是此記憶體的超時時間。
謝謝大家,你們的幫助!