Falhas de logon na conta do sistema a cada 30 segundos

tag-icon tag-icon windows-server-2008 security windows-event-log failovercluster
Falhas de logon na conta do sistema a cada 30 segundos

Temos dois servidores Windows 2008 R2 SP1 em execução em um cluster de failover SQL. Em um deles estamos recebendo os seguintes eventos no log de segurançaa cada 30 segundos. As partes que estão em branco estão, na verdade, em branco. Alguém viu problemas semelhantes ou ajudou a rastrear a causa desses eventos? Nenhum outro log de eventos mostra algo relevante que eu possa dizer.

 Log Name:      Security
 Source:        Microsoft-Windows-Security-Auditing
 Date:          10/17/2012 10:02:04 PM
 Event ID:      4625
 Task Category: Logon
 Level:         Information
 Keywords:      Audit Failure
 User:          N/A
 Computer:      SERVERNAME.domainname.local
 Description:
 An account failed to log on.

 Subject:
 Security ID:       SYSTEM
 Account Name:      SERVERNAME$
 Account Domain:        DOMAINNAME
 Logon ID:      0x3e7

 Logon Type:            3

 Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

 Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

 Process Information:
     Caller Process ID: 0x238
     Caller Process Name:   C:\Windows\System32\lsass.exe

 Network Information:
     Workstation Name:  SERVERNAME
     Source Network Address:    -
     Source Port:       -

 Detailed Authentication Information:
     Logon Process:     Schannel
     Authentication Package:    Kerberos
     Transited Services:    -
     Package Name (NTLM only):  -
     Key Length:        0

Segundo evento que segue cada um dos eventos acima

 Log Name:      Security
 Source:        Microsoft-Windows-Security-Auditing
 Date:          10/17/2012 10:02:04 PM
 Event ID:      4625
 Task Category: Logon
 Level:         Information
 Keywords:      Audit Failure
 User:          N/A
 Computer:      SERVERNAME.domainname.local
 Description:
 An account failed to log on.

 Subject:
     Security ID:       NULL SID
     Account Name:      -
     Account Domain:        -
     Logon ID:      0x0

 Logon Type:            3

 Account For Which Logon Failed:
     Security ID:       NULL SID
     Account Name:      
     Account Domain:        

  Failure Information:
     Failure Reason:        An Error occured during Logon.
     Status:            0xc000006d
     Sub Status:        0x80090325

 Process Information:
      Caller Process ID:    0x0
      Caller Process Name:  -

 Network Information:
     Workstation Name:  -
     Source Network Address:    -
     Source Port:       -

 Detailed Authentication Information:
     Logon Process:     Schannel
     Authentication Package:    Microsoft Unified Security Protocol Provider
     Transited Services:    -
     Package Name (NTLM only):  -
     Key Length:        0

EDITAR ATUALIZAÇÃO: Tenho um pouco mais de informação a acrescentar. Instalei o Network Monitor nesta máquina e fiz um filtro para o tráfego Kerberos e encontrei o seguinte que corresponde aos carimbos de data/hora no log de auditoria de segurança.

Um Kerberos AS_Request Cname: CN=SQLInstanceName Realm:domain.local Sname krbtgt/domain.local

Resposta do DC: KRB_ERROR: KDC_ERR_C_PRINCIPAL_UNKOWN

Em seguida, verifiquei os registros de auditoria de segurança do DC que responderam e encontrei o seguinte:

 A Kerberos authentication ticket (TGT) was requested.

 Account Information:
         Account Name:      X509N:<S>CN=SQLInstanceName
     Supplied Realm Name:   domain.local
     User ID:           NULL SID

 Service Information:
     Service Name:      krbtgt/domain.local
     Service ID:        NULL SID

 Network Information:
     Client Address:        ::ffff:10.240.42.101
     Client Port:       58207

 Additional Information:
     Ticket Options:        0x40810010
     Result Code:       0x6
     Ticket Encryption Type:    0xffffffff
     Pre-Authentication Type:   -

 Certificate Information:
    Certificate Issuer Name:        
    Certificate Serial Number:  
    Certificate Thumbprint:

Portanto, parece estar relacionado a um certificado instalado na máquina SQL, ainda não tenho ideia do porquê ou do que há de errado com esse certificado. Não expirou etc.

Responder1

Usei o Microsoft Network Monitor para encontrar o tráfego que está causando isso e encontrei o tráfego entre este servidor SQL e nosso servidor AD2. O servidor SQL estava enviando um AS_REQ Kerberos para a conta de computador do Nome da Instância SQL. O servidor AD responderia com um KDC_ERR_C_PRINCIPAL_UNKNOWN. Analisei os logs de segurança no servidor AD2 e descobri auditorias de falha como as seguintes:

 A Kerberos authentication ticket (TGT) was requested.

  Account Information:
     Account Name:      X509N:<S>CN=SQLInstanceName
     Supplied Realm Name:   domain.local
     User ID:           NULL SID

  Service Information:
     Service Name:      krbtgt/domain.local
     Service ID:        NULL SID

O que parece ser algum pedido de certificado. Em seguida, usei o SysInternals Process Monitor e encontrei tráfego de um serviço personalizado com os mesmos carimbos de data/hora. Ele estava consultando todos os armazenamentos de certificados e não encontrando nada.

Desabilitar este serviço interromperia os eventos de segurança.

informação relacionada