Esta semana hubo un incidente en el que una de nuestras instancias de SQL Server quedó inesperadamente fuera de línea. Encontré que los servicios de Windows que ejecutan la instancia se detuvieron y no pude iniciarlos nuevamente debido a que las cuentas utilizadas por los servicios estaban deshabilitadas. Supuestamente esas cuentas habían sido desactivadas hace aproximadamente tres semanas.
El servidor de Windows que alberga estos servicios se reinició temprano en la mañana y se descubrió que estaba inactivo. La última vez que accedí a esa instancia fue unas horas antes del reinicio sin problemas. Esto me lleva a creer que no se produce ninguna reautenticación para las credenciales en un servicio en ejecución constante. ¿Es esto cierto? Y si no, ¿cuáles son las políticas o valores predeterminados que controlan ese comportamiento?
Todo lo que he podido encontrar buscando en línea hasta ahora tiene que ver con la autenticación local de una cuenta deshabilitada que ocurre cuando un dispositivo no está en la red del dominio. Parece que no puedo encontrar nada que hable sobre cuentas AD deshabilitadas utilizadas en servicios que no sean los pasos estándar de solución de problemas para cuando un servicio no se inicia.
Respuesta1
Depende de su servicio.
La cuenta utilizada para iniciar el servicio recibirá un ticket Kerberos del controlador de dominio al iniciar el servicio. Lo que haga el servicio después con ese ticket afectará cuándo ocurrirá el error de la cuenta.
Para una instancia de SQL, el problema es cuando la instancia de SQL está activa y el método de autenticación lo realiza SQL; es posible que vea el problema solo más adelante, como en su caso. El problema es que si el servicio no necesita interactuar con otros recursos de red, hará sus propias cosas localmente sin ningún problema, hasta que reinicie o intente reiniciar el servicio. (o si su SQL realiza autenticación de Windows)
Un ejemplo de otro producto; al igual que el servicio Microsoft Exchange Topologie Active Directory, ese servicio accede al controlador de dominio. es su trabajo. Entonces, sí, en tal caso, cerrar la cuenta desde que se ejecutó ese servicio tendrá un impacto inmediato.
Es una buena práctica utilizar una cuenta de servicio, pero documentarla es realmente importante. No se debe deshabilitar una de esas cuentas si el servicio aún se está ejecutando.