Dies ist eine sehr grundlegende Frage, aber etwas zusätzliche Hilfe bei der Diagnose wäre wirklich von Vorteil.
Wir haben einen 2005 SQL Server mit dem Namen:SERVERNAME-PROD
Wir haben einen Web-Apps-Server mit IIS 8.5 namens:WEBAPPS-PROD
Seit einiger Zeit erhalten wir Benachrichtigungen über fehlgeschlagene Anmeldungen mit folgendem Inhalt:
Login ist fehlgeschlagen für den Benutzer 'DOMAIN\WEBAPPS-PROD$'.[Kunde:IP ADRESSE]
Es gibt einige Live-Webanwendungen auf dem Webserver, die eine Verbindung zu diesem SQL-Server herstellen, dies erfolgt jedoch immer über:
- App-Rollen
- SQL-Anmeldungen
- Windows Authentifizierung des Benutzers
Um das Ganze noch seltsamer zu machen, scheint es immer ungefähr zur gleichen Tageszeit zu laufen, aber wir haben auf diesem Server keine Dienste oder Aufgaben geplant.
Fragen:
Natürlich können Sie nicht auf unsere Server zugreifen, aber Sie suchen nur nach allgemeinen Diagnoseratschlägen
- Wie ist es möglich, dass der Webserver selbst Aufrufe an die Datenbank durchführt? Außerhalb der Konfigurationseinstellungen der Webanwendungen sollte er den Namen des SQL-Servers nicht einmal kennen.
- In welchen Fällen würde ein Webserver versuchen, als er selbst eine Verbindung zu einem bestimmten SQL-Server herzustellen?
- Wie können wir etwas hinzufügen, um diese Art von Anrufen zurückzuverfolgen und weitere Informationen zu erhalten?
Antwort1
Anmeldung für Benutzer „DOMAIN\WEBAPPS-PROD$“ fehlgeschlagen. [Client: IP_ADDRESS]
Dies ist das Computerobjekt, das versucht, sich zu authentifizieren. Dies sagt mir, dass etwas als Nicht-Domänenkonto ausgeführt wird und versucht, auf SQL Server zuzugreifen.
Da es sich um einen Webserver handelt, handelt es sich höchstwahrscheinlich um eine Webanwendung, die in einem Pool mit Windows-Authentifizierung ausgeführt wird und nicht ordnungsgemäß mit einem Poolbesitzer eingerichtet ist. Es könnten aber wirklich viele verschiedene Dinge sein.
Was kannst du tun?
Führen Sie eine erweiterte Ereignis- oder Server-Trace-Funktion aus, um zu sehen, welche Prozess-ID (falls vorhanden) eine Verbindung vom Webserver herstellt. Sie können auch die offenen TCP-Ports und Prozess-IDs auf der Webserverseite mithilfe von netstat oder tcpview usw. überprüfen.
Auch hier besteht die Möglichkeit, dass es sich um eine nicht ordnungsgemäß konfigurierte Webanwendung handelt. So können Sie das Problem jedoch leichter finden.