本週發生了一起事件,我們的一個 SQL Server 實例意外離線。我發現運行該實例的 Windows 服務已停止,並且由於服務使用的帳戶已停用而無法再次啟動它們。據稱,這些帳戶大約三週前已被禁用。
承載這些服務的 Windows 伺服器在凌晨重新啟動,發現它已關閉。我上次訪問該實例是在重啟前幾個小時,沒有出現任何問題。這讓我相信,在持續運行的服務上,憑證的重新驗證為零。這是真的?如果不是,控制該行為的策略或預設設定是什麼?
到目前為止,我在網路上搜尋到的所有內容都是關於當裝置不在網域網路上時發生的停用帳戶的本機驗證。除了服務無法啟動時的標準故障排除步驟之外,我似乎找不到任何有關服務中使用的禁用 AD 帳戶的內容。
答案1
這取決於你的服務。
用於啟動服務的帳戶將在服務啟動時從網域控制站取得 kerberos 票證。當發生帳戶錯誤時,服務對該票證執行的操作會產生影響。
對於 SQL 實例,問題是當 SQL 實例啟動並且身份驗證方法由 SQL 完成時,您可能稍後才會看到該問題,就像您的情況一樣。問題是,如果服務不需要與其他網路資源交互,它將在本地執行自己的操作,不會出現任何問題,直到您重新啟動或嘗試重新啟動服務。 (或如果您的 SQL 進行 Windows 驗證)
另一種產品的例子;與 Microsoft Exchange Topologie Active Directory 服務一樣,此服務會觸發網域控制站。這是工作。因此,是的,在這種情況下,關閉該服務運行的帳戶將立即產生影響。
最佳實踐是使用服務帳戶,但記錄它們非常重要。如果服務仍在運行,則不應停用此類帳戶。