Errores de inicio de sesión en la cuenta del sistema cada 30 segundos

tag-icon tag-icon windows-server-2008 security windows-event-log failovercluster
Errores de inicio de sesión en la cuenta del sistema cada 30 segundos

Tenemos dos servidores Windows 2008 R2 SP1 ejecutándose en un clúster de conmutación por error de SQL. En uno de ellos recibimos los siguientes eventos en el registro de seguridadcada 30 segundos. Las partes que están en blanco en realidad están en blanco. ¿Alguien ha visto problemas similares o ha ayudado a rastrear la causa de estos eventos? Ningún otro registro de eventos muestra nada relevante que pueda decir.

 Log Name:      Security
 Source:        Microsoft-Windows-Security-Auditing
 Date:          10/17/2012 10:02:04 PM
 Event ID:      4625
 Task Category: Logon
 Level:         Information
 Keywords:      Audit Failure
 User:          N/A
 Computer:      SERVERNAME.domainname.local
 Description:
 An account failed to log on.

 Subject:
 Security ID:       SYSTEM
 Account Name:      SERVERNAME$
 Account Domain:        DOMAINNAME
 Logon ID:      0x3e7

 Logon Type:            3

 Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

 Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

 Process Information:
     Caller Process ID: 0x238
     Caller Process Name:   C:\Windows\System32\lsass.exe

 Network Information:
     Workstation Name:  SERVERNAME
     Source Network Address:    -
     Source Port:       -

 Detailed Authentication Information:
     Logon Process:     Schannel
     Authentication Package:    Kerberos
     Transited Services:    -
     Package Name (NTLM only):  -
     Key Length:        0

Segundo evento que sigue a cada uno de los eventos anteriores.

 Log Name:      Security
 Source:        Microsoft-Windows-Security-Auditing
 Date:          10/17/2012 10:02:04 PM
 Event ID:      4625
 Task Category: Logon
 Level:         Information
 Keywords:      Audit Failure
 User:          N/A
 Computer:      SERVERNAME.domainname.local
 Description:
 An account failed to log on.

 Subject:
     Security ID:       NULL SID
     Account Name:      -
     Account Domain:        -
     Logon ID:      0x0

 Logon Type:            3

 Account For Which Logon Failed:
     Security ID:       NULL SID
     Account Name:      
     Account Domain:        

  Failure Information:
     Failure Reason:        An Error occured during Logon.
     Status:            0xc000006d
     Sub Status:        0x80090325

 Process Information:
      Caller Process ID:    0x0
      Caller Process Name:  -

 Network Information:
     Workstation Name:  -
     Source Network Address:    -
     Source Port:       -

 Detailed Authentication Information:
     Logon Process:     Schannel
     Authentication Package:    Microsoft Unified Security Protocol Provider
     Transited Services:    -
     Package Name (NTLM only):  -
     Key Length:        0

EDITAR ACTUALIZACIÓN: Tengo un poco más de información para agregar. Instalé Network Monitor en esta máquina, hice un filtro para el tráfico de Kerberos y encontré lo siguiente que corresponde a las marcas de tiempo en el registro de auditoría de seguridad.

Un Kerberos AS_Request Cname: CN=SQLInstanceName Reino:dominio.local Nombre krbtgt/dominio.local

Respuesta de DC: KRB_ERROR: KDC_ERR_C_PRINCIPAL_UNKOWN

Luego verifiqué los registros de auditoría de seguridad del DC que respondieron y encontré lo siguiente:

 A Kerberos authentication ticket (TGT) was requested.

 Account Information:
         Account Name:      X509N:<S>CN=SQLInstanceName
     Supplied Realm Name:   domain.local
     User ID:           NULL SID

 Service Information:
     Service Name:      krbtgt/domain.local
     Service ID:        NULL SID

 Network Information:
     Client Address:        ::ffff:10.240.42.101
     Client Port:       58207

 Additional Information:
     Ticket Options:        0x40810010
     Result Code:       0x6
     Ticket Encryption Type:    0xffffffff
     Pre-Authentication Type:   -

 Certificate Information:
    Certificate Issuer Name:        
    Certificate Serial Number:  
    Certificate Thumbprint:

Parece estar relacionado con un certificado instalado en la máquina SQL, todavía no tengo idea de por qué o qué está mal con dicho certificado. No está caducado, etc.

Respuesta1

Utilicé Microsoft Network Monitor para encontrar el tráfico que causaba esto y encontré tráfico entre este servidor SQL y nuestro servidor AD2. El servidor SQL estaba enviando un Kerberos AS_REQ para la cuenta de computadora del nombre de instancia SQL. El servidor AD respondería con un KDC_ERR_C_PRINCIPAL_UNKNOWN. Miré los registros de seguridad en el servidor AD2 y descubrí auditorías de fallas como las siguientes:

 A Kerberos authentication ticket (TGT) was requested.

  Account Information:
     Account Name:      X509N:<S>CN=SQLInstanceName
     Supplied Realm Name:   domain.local
     User ID:           NULL SID

  Service Information:
     Service Name:      krbtgt/domain.local
     Service ID:        NULL SID

Lo que parece ser una solicitud de certificado. Luego utilicé SysInternals Process Monitor y encontré tráfico de un servicio personalizado con las mismas marcas de tiempo. Estaba consultando todos los almacenes de certificados y no encontraba nada.

Deshabilitar este servicio detendría los eventos de seguridad.

información relacionada