На этой неделе произошел инцидент, когда один из наших экземпляров SQL Server неожиданно оказался в автономном режиме. Я обнаружил, что службы Windows, которые запускают экземпляр, остановились, и не смог запустить их снова из-за того, что учетные записи, используемые службами, были отключены. Предположительно, эти учетные записи были отключены примерно три недели назад.
Сервер Windows, на котором размещены эти службы, был перезапущен рано утром, когда он оказался неисправным. В последний раз я обращался к этому экземпляру всего за несколько часов до перезагрузки без проблем. Это наводит меня на мысль, что для учетных данных в постоянно работающей службе не происходит повторной аутентификации. Так ли это? И если нет, то какие политики или значения по умолчанию контролируют это поведение?
Все, что мне удалось найти в Интернете до сих пор, касается локальной аутентификации отключенной учетной записи, которая происходит, когда устройство не находится в доменной сети. Я просто не могу найти ничего, что говорило бы об отключенных учетных записях AD, используемых в службах, кроме стандартных шагов по устранению неполадок, когда служба не запускается.
решение1
Это зависит от вашего сервиса.
Учетная запись, используемая для запуска службы, получит билет kerberos от контроллера домена при запуске службы. Что служба сделает после этого с этим билетом, повлияет на то, когда произойдет ошибка учетной записи.
Для экземпляра SQL проблема заключается в том, что когда экземпляр SQL запущен и метод аутентификации выполняется SQL, вы можете увидеть проблему только позже, как в вашем случае. Проблема в том, что если службе не нужно взаимодействовать с другими сетевыми ресурсами, она будет выполнять свои собственные задачи локально без каких-либо проблем, пока вы не перезагрузите или не попытаетесь перезапустить службу. (или если ваш SQL выполняет аутентификацию Windows)
Пример из другого продукта; как служба Microsoft Exchange Topologie Active Directory, эта служба подталкивает контроллер домена. Это работа. Так что да, в таком случае закрытие учетной записи, из которой эта служба запущена, даст немедленный эффект.
Лучше всего использовать учетную запись службы, но документировать их действительно важно. Отключение одной такой учетной записи не следует делать, если служба все еще работает.