Depuración de errores aleatorios de inicio de sesión de SQL desde el servidor web

tag-icon tag-icon sql-server iis windows-server-2012 logging debugging
Depuración de errores aleatorios de inicio de sesión de SQL desde el servidor web

Esta es una pregunta de nivel muy básico, pero realmente podría beneficiarse de alguna ayuda adicional en el diagnóstico.

Tenemos un servidor SQL 2005 llamado:NOMBRESERVIDOR-PROD
Tenemos un servidor de aplicaciones web que ejecuta IIS 8.5 llamado:WEBAPPS-PROD

Durante un tiempo recibimos notificaciones de errores de inicio de sesión que decían:

Error de usuario 'DOMINIO\WEBAPPS-PROD$'.[Cliente:DIRECCIÓN IP]

Hay algunas aplicaciones web activas en el servidor web que se conectan a ese servidor SQL, pero siempre lo hacen a través de:

  • Funciones de la aplicación
  • Inicios de sesión SQL
  • Autenticación Windows del usuario

Para aumentar la rareza, parece ejecutarse constantemente a la misma hora del día, pero no tenemos servicios ni tareas programadas en ese servidor.

Preguntas:
Por supuesto, no puede ingresar a nuestros servidores, solo buscar asesoramiento de diagnóstico general.

  • ¿Cómo es posible que el propio servidor web esté realizando llamadas a la base de datos? Ni siquiera debería saber el nombre del servidor SQL fuera de los ajustes de configuración de las aplicaciones web.
  • ¿En qué casos un servidor web intentaría conectarse por sí mismo a un servidor SQL en particular?
  • ¿Cómo podemos agregar algo para rastrear ese tipo de llamadas y obtener más información?

Respuesta1

Error de inicio de sesión para el usuario 'DOMAIN\WEBAPPS-PROD$'.[Cliente: IP_ADDRESS]

Este es el objeto de la computadora que intenta autenticarse. Esto me dice que hay algo ejecutándose como una cuenta que no es de dominio y que intenta acceder a SQL Server.

Dado que es un servidor web, lo más probable es que sea una aplicación web que se ejecuta en un grupo mediante autenticación de Windows y no está configurada correctamente con el propietario del grupo, pero en realidad podrían ser muchas cosas diferentes.

¿Qué puedes hacer?

Ejecute un seguimiento de eventos extendidos o del lado del servidor para ver qué ID de proceso (si corresponde) se está conectando desde el servidor web. También puede verificar los puertos TCP abiertos y los ID de proceso en el lado del servidor web usando netstat o tcpview, etc.

Nuevamente, es probable que se trate de una aplicación web que no está configurada correctamente, pero eso debería ayudarte a localizarla.

información relacionada