Depurando falha aleatória de login SQL do servidor Web

tag-icon tag-icon sql-server iis windows-server-2012 logging debugging
Depurando falha aleatória de login SQL do servidor Web

Esta é uma questão de nível muito básico, mas que poderia realmente beneficiar de alguma ajuda extra no diagnóstico.

Temos um SQL Server 2005 chamado:SERVERNAME-PROD
Temos um servidor de aplicativos da Web executando o IIS 8.5 chamado:WEBAPPS-PROD

Há algum tempo, recebemos notificações de falha de login que dizem:

Falha no login do usuário 'DOMÍNIO\WEBAPPS-PROD$'.[Cliente:ENDEREÇO ​​DE IP]

Existem alguns aplicativos web ativos no servidor web que se conectam a esse servidor SQL, mas sempre fazem isso por meio de:

  • Funções do aplicativo
  • Logins SQL
  • Autenticação do Windows do usuário

Para aumentar a estranheza, ele parece funcionar consistentemente na mesma hora do dia, mas não temos serviços ou tarefas agendadas nesse servidor.

Questões:
Claro que você não pode entrar em nossos servidores, mas apenas procurando conselhos gerais de diagnóstico

  • Como é possível que o próprio servidor web esteja fazendo chamadas para o banco de dados? Ele nem deveria saber o nome do servidor sql fora das definições de configuração dos aplicativos da web.
  • Em que casos um servidor web tentaria se conectar a um servidor SQL específico?
  • Como podemos adicionar algo para rastrear esse tipo de chamadas e obter mais informações?

Responder1

Falha no login do usuário 'DOMAIN\WEBAPPS-PROD$'.[Cliente: IP_ADDRESS]

Este é o objeto do computador que está tentando autenticar. Isso me diz que há algo em execução como uma conta que não é de domínio tentando acessar o SQL Server.

Como é um servidor web, provavelmente é um webapp rodando em um pool usando autenticação do Windows e não configurado corretamente com o proprietário do pool, mas pode realmente ser muitas coisas diferentes.

O que você pode fazer?

Execute eventos estendidos ou rastreamento do lado do servidor para ver qual ID de processo (se houver) está se conectando do servidor web. Você também pode verificar as portas TCP abertas e os IDs de processo no lado do servidor web usando netstat ou tcpview, etc.

Novamente, é provável que seja um aplicativo da web não configurado corretamente, mas isso deve ajudá-lo a localizá-lo.

informação relacionada