이번 주에 SQL Server 인스턴스 중 하나가 예기치 않게 오프라인 상태가 되는 사건이 발생했습니다. 인스턴스를 실행하는 Windows 서비스가 중지되었으며 서비스에서 사용하는 계정이 비활성화되어 다시 시작할 수 없다는 것을 발견했습니다. 해당 계정은 약 3주 전에 비활성화된 것으로 알려졌습니다.
이러한 서비스를 수용하는 Windows 서버는 이른 아침에 다시 시작되어 다운된 것으로 확인되었습니다. 문제 없이 재부팅하기 불과 몇 시간 전에 해당 인스턴스에 마지막으로 액세스했습니다. 이로 인해 지속적으로 실행되는 서비스에서 자격 증명에 대해 재인증이 발생하지 않는다고 믿게 되었습니다. 이것이 사실입니까? 그렇지 않은 경우 해당 동작을 제어하는 정책이나 기본값은 무엇입니까?
지금까지 온라인 검색에서 찾을 수 있었던 모든 것은 장치가 도메인 네트워크에 없을 때 발생하는 비활성화된 계정의 로컬 인증에 관한 것입니다. 서비스가 시작되지 않을 때의 표준 문제 해결 단계 외에 서비스에 사용되는 비활성화된 AD 계정에 대해 설명하는 내용을 찾을 수 없는 것 같습니다.
답변1
귀하의 서비스에 따라 다릅니다.
서비스 시작에 사용되는 계정은 서비스 시작 시 도메인 컨트롤러로부터 Kerberos 티켓을 받습니다. 계정 오류가 발생할 경우 해당 티켓에 영향을 미친 후 서비스가 수행하는 작업입니다.
SQL 인스턴스의 경우 SQL 인스턴스가 작동 중이고 인증 방법이 SQL에 의해 수행되는 경우 문제가 발생하며, 귀하의 경우와 마찬가지로 나중에 문제가 표시될 수도 있습니다. 문제는 서비스가 다른 네트워크 리소스와 상호 작용할 필요가 없는 경우 서비스를 재부팅하거나 다시 시작하려고 할 때까지 아무런 문제 없이 로컬에서 자체 작업을 수행한다는 것입니다. (또는 SQL이 Windows 인증을 수행하는 경우)
다른 제품의 예; Microsoft Exchange Topologie Active Directory 서비스와 같이 해당 서비스는 도메인 컨트롤러를 공격합니다. 직업이에요. 따라서 그러한 경우 해당 서비스 실행으로 인해 계정을 폐쇄하면 즉각적인 영향을 받게 됩니다.
서비스 계정을 사용하는 것이 가장 좋지만 이를 문서화하는 것이 매우 중요합니다. 서비스가 아직 실행 중인 경우 해당 계정을 비활성화하면 안 됩니다.