Diese Woche gab es einen Vorfall, bei dem eine unserer SQL Server-Instanzen unerwartet offline war. Ich stellte fest, dass die Windows-Dienste, die die Instanz ausführen, angehalten wurden und nicht wieder gestartet werden konnten, da die von den Diensten verwendeten Konten deaktiviert waren. Angeblich wurden diese Konten vor etwa drei Wochen deaktiviert.
Der Windows-Server, auf dem diese Dienste laufen, wurde am frühen Morgen neu gestartet, als festgestellt wurde, dass er ausgefallen war. Ich hatte diese Instanz zuletzt wenige Stunden vor dem Neustart ohne Probleme aufgerufen. Dies lässt mich annehmen, dass bei einem ständig laufenden Dienst keine erneute Authentifizierung der Anmeldeinformationen erfolgt. Stimmt das? Und wenn nicht, welche Richtlinien oder Standardeinstellungen steuern dieses Verhalten?
Alles, was ich bisher bei meiner Online-Suche finden konnte, betrifft die lokale Authentifizierung eines deaktivierten Kontos, die erfolgt, wenn sich ein Gerät nicht im Domänennetzwerk befindet. Ich kann einfach nichts finden, das sich mit deaktivierten AD-Konten befasst, die für Dienste verwendet werden, außer den Standardschritten zur Fehlerbehebung, wenn ein Dienst nicht gestartet wird.
Antwort1
Es hängt von Ihrem Service ab.
Das zum Starten des Dienstes verwendete Konto erhält beim Start des Dienstes ein Kerberos-Ticket vom Domänencontroller. Was der Dienst anschließend mit diesem Ticket macht, hat Einfluss darauf, wann der Kontofehler auftritt.
Bei einer SQL-Instanz besteht das Problem darin, dass die SQL-Instanz aktiv ist und die Authentifizierungsmethode von SQL ausgeführt wird. Möglicherweise wird das Problem erst später angezeigt, wie in Ihrem Fall. Das Problem besteht darin, dass der Dienst, wenn er nicht mit anderen Netzwerkressourcen interagieren muss, seine eigenen Aufgaben lokal ohne Probleme erledigt, bis Sie neu starten oder versuchen, den Dienst neu zu starten. (oder wenn Ihr SQL eine Windows-Authentifizierung durchführt)
Ein Beispiel aus einem anderen Produkt: Wie der Microsoft Exchange Topologie Active Directory-Dienst. Dieser Dienst stößt den Domänencontroller an. Das ist seine Aufgabe. In einem solchen Fall hat das Schließen des Kontos, von dem aus dieser Dienst ausgeführt wird, also unmittelbare Auswirkungen.
Es empfiehlt sich, ein Dienstkonto zu verwenden, aber es ist wirklich wichtig, diese zu dokumentieren. Ein solches Konto sollte nicht deaktiviert werden, wenn der Dienst noch ausgeführt wird.