我们的一位管理员注意到我们的一台 SQL Server 上的 Windows 事件日志中登录消息存在一种奇怪的模式,经过一番调查,我发现我们的大多数(但不是全部)SQL Server 上都有相同的模式。但我似乎找不到来源。
模式:
- 受影响的服务器上每 29 分钟就会出现一系列与 Kerberos 身份验证相关的四条消息。(不,这不是打字错误。)
- 在 Windows 2003 及更早版本中,该系列事件 ID 为 552、540、576 和 538(按此顺序)。在 Windows 2008 中,该系列事件 ID 为 4648、4624、4672 和 4634。
- 该系列中的第一条消息表明 SQL Server 的服务帐户正在使用我的凭据通过 Kerberos 进行身份验证。
- 第二条和第三条消息与通过 Kerberos 使用我的凭据登录以及授予的权限有关。
- 第四条消息是注销。
- 该系列总是在 1 秒内发生。
我已经排除了所有我能想到的:
- Windows 事件日志中没有其他消息与这些消息相关。
- SQL Server 日志中没有任何消息与该消息相关。
- 该调度程序上没有运行任何 SQL Server 代理作业。
- 任务计划程序在任何受影响的服务器上均未执行任何作业。
- 我们的第三方作业调度程序没有按照该计划运行的任何作业,也没有我的凭证。
- 我曾一度怀疑是我们使用的第三方监视器,但即使监视器完全关闭,也会产生消息。
- 没有使用任何其他具有服务帐户凭据或我的凭据的第三方监视器。
- 我们的链接服务器使用 SQL Server 身份验证,而不是 Windows 身份验证。
- 这些服务器是 SQL Server 2000、2005 和 2008 的混合,因此它不能与任何较新的 SQL Server 技术(例如 Service Broker)相关。
有谁建议检查其他内容来找出这些消息的原因吗?
答案1
我通过运行不同的服务器端跟踪找到了答案。SQL Server Agent 中的作业从操作系统请求信息,这导致它使用 Windows 对作业所有者进行身份验证。某些东西(Windows 或 SQL)显然正在缓存此身份验证,因此它不必频繁地使用 Kerberos;29 分钟的间隔一定是此缓存的超时时间。
谢谢大家的帮助!