SQL Server 上的未知 Kerberos 身份驗證模式

我們的一位管理員在我們的一個 SQL Server 上的 Windows 事件日誌中註意到了一種奇怪的登錄消息模式，經過一番調查，我發現在我們的大多數（但不是全部）SQL 上都可以找到相同的模式伺服器。但是，我似乎無法找到來源。

圖案：

• 與 Kerberos 身份驗證相關的一系列四條消息每 29 分鐘在受影響的伺服器上出現。（不，這不是錯字。）
• 該系列是 Windows 2003 和更早版本上的事件 ID 552、540、576 和 538（按此順序）。在 Windows 2008 上，該系列為 4648、4624、4672 和 4634。
• 該系列的第一條消息說 SQL Server 的服務帳戶正在使用我的憑據通過 Kerberos 進行身份驗證。
• 第二條和第三條消息與使用我的憑據通過 Kerberos 登錄和授予的權限有關。
• 第四個消息是註銷。
• 該系列總是在 1 秒內發生。

我已經消除了我能想到的一切：

• Windows 事件日誌中沒有其他消息與這些消息相關。
• SQL Server 日誌中沒有與消息相關的消息。
• 沒有 SQL Server 代理作業在該調度程序上執行。
• 任務計劃程序在任何受影響的伺服器上都沒有作業。
• 我們的第 3 方作業計劃程序沒有任何按該計劃執行的作業，也沒有我的憑據。
• 我一度懷疑我們使用的是第 3 方顯示器，但即使顯示器完全關閉，也會產生這些消息。
• 沒有使用其他具有服務帳戶憑據或我的憑據的第三方監視器。
• 我們的連結伺服器使用 SQL Server 身份驗證，而不是 Windows 身份驗證。
• 這些伺服器混合了 SQL Server 2000、2005 和 2008，因此它不能與任何更新的 SQL Server 技術（例如 Service Broker）相關。

有沒有人有任何其他建議來檢查以找到這些消息的原因？

我通過執行不同的伺服器端跟踪找到了答案。SQL Server 代理中的作業向作業系統請求資訊，這導致它向 Windows 驗證作業所有者。某些東西（Windows 或 SQL）顯然正在記憶體此身份驗證，因此它不必頻繁訪問 Kerberos；29 分鐘間隔必須是此記憶體的超時時間。

謝謝大家，你們的幫助！

引用自：https://serverfault.com/questions/100214