SQL 장애 조치 클러스터에서 두 개의 Windows 2008 R2 SP1 서버가 실행되고 있습니다. 그 중 하나의 보안 로그에 다음 이벤트가 표시됩니다.30초마다. 비어 있는 부분은 실제로 비어 있습니다. 비슷한 문제를 본 사람이 있거나 이러한 이벤트의 원인을 추적하는 데 도움을 준 사람이 있습니까? 다른 이벤트 로그에는 내가 알 수 있는 관련 내용이 표시되지 않습니다.
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 10/17/2012 10:02:04 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: SERVERNAME.domainname.local
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: SERVERNAME$
Account Domain: DOMAINNAME
Logon ID: 0x3e7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x238
Caller Process Name: C:\Windows\System32\lsass.exe
Network Information:
Workstation Name: SERVERNAME
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Schannel
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
위의 모든 이벤트에 이어지는 두 번째 이벤트
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 10/17/2012 10:02:04 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: SERVERNAME.domainname.local
Description:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: An Error occured during Logon.
Status: 0xc000006d
Sub Status: 0x80090325
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: -
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Schannel
Authentication Package: Microsoft Unified Security Protocol Provider
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
업데이트 수정: 추가할 정보가 조금 더 있습니다. 이 컴퓨터에 네트워크 모니터를 설치하고 Kerberos 트래픽에 대한 필터를 수행한 결과 보안 감사 로그의 타임스탬프에 해당하는 다음 항목을 발견했습니다.
Kerberos AS_Request Cname: CN=SQLInstanceName 영역:domain.local Sname krbtgt/domain.local
DC에서 응답: KRB_ERROR: KDC_ERR_C_PRINCIPAL_UNKOWN
그런 다음 응답한 DC의 보안 감사 로그를 확인하고 다음을 발견했습니다.
A Kerberos authentication ticket (TGT) was requested.
Account Information:
Account Name: X509N:<S>CN=SQLInstanceName
Supplied Realm Name: domain.local
User ID: NULL SID
Service Information:
Service Name: krbtgt/domain.local
Service ID: NULL SID
Network Information:
Client Address: ::ffff:10.240.42.101
Client Port: 58207
Additional Information:
Ticket Options: 0x40810010
Result Code: 0x6
Ticket Encryption Type: 0xffffffff
Pre-Authentication Type: -
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
따라서 SQL 시스템에 설치된 인증서와 관련된 것으로 보이지만 여전히 해당 인증서에 왜 또는 어떤 문제가 있는지 전혀 알 수 없습니다. 만료되지 않았습니다.
답변1
Microsoft 네트워크 모니터를 사용하여 이 문제를 일으키는 트래픽을 찾고 이 SQL 서버와 AD2 서버 간의 트래픽을 찾았습니다. SQL 서버가 SQL 인스턴스 이름의 컴퓨터 계정에 대해 Kerberos AS_REQ를 보내고 있었습니다. AD 서버는 KDC_ERR_C_PRINCIPAL_UNKNOWN으로 응답합니다. AD2 서버의 보안 로그를 살펴본 결과 다음과 같은 실패 감사를 발견했습니다.
A Kerberos authentication ticket (TGT) was requested.
Account Information:
Account Name: X509N:<S>CN=SQLInstanceName
Supplied Realm Name: domain.local
User ID: NULL SID
Service Information:
Service Name: krbtgt/domain.local
Service ID: NULL SID
인증서 요청인 것 같습니다. 그런 다음 SysInternals Process Monitor를 사용하여 타임스탬프가 동일한 사용자 지정 서비스의 트래픽을 찾았습니다. 모든 인증서 저장소를 쿼리했지만 아무것도 찾지 못했습니다.
이 서비스를 비활성화하면 보안 이벤트가 중지됩니다.