Wir haben zwei Windows 2008 R2 SP1-Server in einem SQL-Failovercluster. Auf einem davon erhalten wir die folgenden Ereignisse im Sicherheitsprotokollalle 30 Sekunden. Die Teile, die leer sind, sind tatsächlich leer. Hat jemand ähnliche Probleme gesehen oder kann jemand dabei helfen, die Ursache dieser Ereignisse zu ermitteln? Soweit ich weiß, zeigen keine anderen Ereignisprotokolle etwas Relevantes.
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 10/17/2012 10:02:04 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: SERVERNAME.domainname.local
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: SERVERNAME$
Account Domain: DOMAINNAME
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x238
Caller Process Name: C:\Windows\System32\lsass.exe
Network Information:
Workstation Name: SERVERNAME
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Schannel
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Zweites Ereignis, das auf jedes der oben genannten Ereignisse folgt
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 10/17/2012 10:02:04 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: SERVERNAME.domainname.local
Description:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: An Error occured during Logon.
Status: 0xc000006d
Sub Status: 0x80090325
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: -
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Schannel
Authentication Package: Microsoft Unified Security Protocol Provider
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
UPDATE BEARBEITEN: Ich möchte noch ein paar weitere Informationen hinzufügen. Ich habe Network Monitor auf diesem Computer installiert und einen Filter für Kerberos-Verkehr ausgeführt und Folgendes gefunden, das den Zeitstempeln im Sicherheitsüberwachungsprotokoll entspricht.
Ein Kerberos AS_Request Cname: CN=SQLInstanceName Realm:domain.local Sname krbtgt/domain.local
Antwort von DC: KRB_ERROR: KDC_ERR_C_PRINCIPAL_UNKOWN
Anschließend habe ich die Sicherheitsüberwachungsprotokolle des DC geprüft, der geantwortet hat, und Folgendes festgestellt:
A Kerberos authentication ticket (TGT) was requested.
Account Information:
Account Name: X509N:<S>CN=SQLInstanceName
Supplied Realm Name: domain.local
User ID: NULL SID
Service Information:
Service Name: krbtgt/domain.local
Service ID: NULL SID
Network Information:
Client Address: ::ffff:10.240.42.101
Client Port: 58207
Additional Information:
Ticket Options: 0x40810010
Result Code: 0x6
Ticket Encryption Type: 0xffffffff
Pre-Authentication Type: -
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Es scheint also mit einem auf der SQL-Maschine installierten Zertifikat zusammenzuhängen. Ich habe immer noch keine Ahnung, warum oder was mit dem Zertifikat nicht stimmt. Es ist nicht abgelaufen usw.
Antwort1
Ich habe Microsoft Network Monitor verwendet, um den Datenverkehr zu finden, der dies verursacht hat, und habe Datenverkehr zwischen diesem SQL-Server und unserem AD2-Server gefunden. Der SQL-Server hat ein Kerberos AS_REQ für das Computerkonto des SQL-Instanznamens gesendet. Der AD-Server antwortete mit einem KDC_ERR_C_PRINCIPAL_UNKNOWN. Ich habe mir die Sicherheitsprotokolle auf dem AD2-Server angesehen und Fehlerprüfungen wie die folgenden entdeckt:
A Kerberos authentication ticket (TGT) was requested.
Account Information:
Account Name: X509N:<S>CN=SQLInstanceName
Supplied Realm Name: domain.local
User ID: NULL SID
Service Information:
Service Name: krbtgt/domain.local
Service ID: NULL SID
Das scheint eine Zertifikatsanforderung zu sein. Ich habe dann den SysInternals Process Monitor verwendet und Datenverkehr von einem benutzerdefinierten Dienst mit denselben Zeitstempeln gefunden. Er hat alle Zertifikatsspeicher abgefragt und nichts gefunden.
Durch das Deaktivieren dieses Dienstes werden die Sicherheitsereignisse gestoppt.