当我们的 gMSA 帐户自动轮换时,我们会看到大约 1-10 分钟的登录失败。这对于连接到 MS SQL 服务器的 gMSA 客户端帐户尤为明显,但我认为其他 gMSA 帐户也会发生这种情况。MS SQL 服务器不是作为 gMSA 帐户运行的,但我们的应用程序使用 gMSA 来建立到 SQL 的客户端连接。默认情况下 ManagedPasswordIntervalInDays 是每 30 天一次,所以我们每个月都会在同一时间看到这个。
当我检查域控制器日志时,我没有看到 gMSA 用户的任何登录失败,但是 SQL 服务器记录了以下错误
SSPI 握手失败,错误代码为 0x8009030c,在建立具有集成安全性的连接时状态 14;连接已关闭。原因:AcceptSecurityContext 失败。操作系统错误代码指示失败的原因。登录尝试失败 [CLIENT: xxxx]
根据我的发现,此错误通常表示用户名/密码组合错误。
这发生在多个客户端上,每个客户端最终都会在 1-10 分钟后重新开始连接。客户端不会同时开始连接,但在那个时间窗口内似乎是随机的。
一开始我觉得可能跟修改密码的AD复制有关,所以我们把默认的跨站复制间隔修改为USE_NOTIFY来立即复制。如果复制是问题所在,我希望在 DC 上看到登录失败,而在 DC 上看不到登录失败。我还以为 SQL 服务器可能正在缓存身份验证令牌,但如果是这种情况,我希望看到所有客户端同时解析(即当 SQL 服务器刷新时)因为客户端每个都开始重新工作在不同的时间,它似乎不在 SQL 服务器端,而更可能在客户端。也许缓存 gMSA 密码,或者可能与超时和重试回退相关的东西。