这是一个奇怪的问题,导致我失去了所有的头发。
每隔几天左右,我们从一台 SQL 服务器到另一台的委派身份验证就会失败并显示以下错误:
用户“NT AUTHORITY\ANONYMOUS LOGON”登录失败。SQL 服务器日志显示:“用户 'NT AUTHORITY\ANONYMOUS LOGON' 登录失败。原因:找不到与提供的名称匹配的登录名。[客户端:10.1.xx] 错误:18456,严重性:14,状态:5。 ”
我们的环境由 6 个域控制器组成,从 Windows 2012 到 Windows 2019,SQL 服务器是运行 SQL Server 2017 的 Windows Server 2016。
几个小时后,问题会自行消失,除非在任一受影响的 SQL 服务器上清除 Kerberos 票证,这会在大约 15 分钟内解决问题。
起初我们认为这是特定 SQL 服务器的问题,因此我们更换了它,但是在去年它影响了具有多个不同委派连接的几台服务器。
迄今为止,我们已尝试更新 SQL 服务器、删除和重新创建 SPN、将我们的大部分 DC 升级到 Windows 2019、更新域功能级别和多个 Microsoft 票证。我们怀疑将 SSMS 会话留在 SQL Server 过夜会触发 Kerberos 委派连接更频繁地失败,但这在这一点上可能是迷信。
有任何想法吗?它在 80% 的时间内都有效,这使得追捕变得特别棘手。域控制器似乎正常同步,但我不确定在 DC 出现问题的情况下要查找什么。
奇怪的是,我们能够在中断期间通过受保护的 AD 帐户连接到各个服务器,并且登录被列为 Kerberos,只是 AD 委派的权限停止工作。
我们在周末进行 DC 维护,问题似乎随时都会出现。