今天我遇到了一个奇怪的问题,NT SERVICE\MSSQLSERVER 被拒绝作为服务登录到已加入域的计算机上。我还注意到没有通过 gpupdate /force 应用组策略。我断开了计算机与域的连接,删除了 AD 对象,重新创建了 AD 对象,然后重新加入域。计算机成功提取了策略,SQL Express 正常运行。我知道 GPO 与此无关,因为我冲刷通过它们查看是否有允许虚拟帐户作为服务登录的策略,但没有任何此类内容。现在只应用了三个 GPO,它们之间没有关联。我很难理解这是如何解决 SQL 问题的。唯一有意义的是,即使 SQL 实例是本地的,计算机仍然需要 kerberos 令牌才能作为服务登录。当我重新加入域时,它修复了与 DC 的连接,允许进行身份验证。这有意义吗?
谢谢大家。