NT SERVICE\MSSQLSERVER necesită autentificare Kerberos dacă instanța sql este pe mașina locală?

SophisticatedBear

20.03.2023, 00:30

Am avut o problemă bizară astăzi în care NT SERVICE\MSSQLSERVER i s-a refuzat conectarea ca serviciu pe un computer alăturat unui domeniu. De asemenea, am observat că politica de grup nu a fost aplicată prin gpupdate /force. Am deconectat computerul de la domeniu, am șters obiectul AD, am re-creat obiectul AD și m-am alăturat din nou la domeniu. Computerul a extras politica cu succes, iar SQL Express a funcționat. Știu că GPO-urile nu au nimic de-a face cu asta pentru că eu curățată prin ele pentru a vedea dacă există o politică care să permită autentificarea contului virtual ca serviciu și nu a existat nimic de acest fel. Există doar trei GPO care sunt aplicate acum și nu sunt legate.Mă străduiesc să înțeleg cum a rezolvat problema SQL. Singurul lucru care ar avea sens, chiar dacă instanța SQL este locală, computerul încă avea nevoie de un token kerberos pentru a se autentifica ca serviciu. Când m-am alăturat din nou în domeniu, a reparat conexiunea la DC permițând autentificarea. Are sens?

Multumesc oameni buni.

0 + 0

asterisknow

SQL Server

Greg Askew

20.03.2023, 13:29

„Știu că GPO-urile nu au nimic de-a face cu asta pentru că i-am cercetat pentru a vedea dacă există o politică care să permită autentificarea contului virtual ca serviciu și nu a existat nimic de acest fel”. Ar fi trebuit să verificați politicile de securitate a sistemului în loc de politica de grup. De asemenea, probabil ați distrus informațiile necesare pentru a evalua problema.Doar pentru că ceva „s-ar putea să nu fie înțeles” nu înseamnă că este o problemă cu Active Directory sau cu politica de grup.

Răspunde

SophisticatedBear

22.03.2023, 16:35

@GregAskew, sunt de acord cu filosofia ta. Într-o astfel de situație, ce ați fi verificat cu politica locală de securitate? Vezi doar ce a fost activat? Sau chiar ai avut ceva anume în minte. Mulțumiri.

Răspunde

Greg Askew

22.03.2023, 20:05

Dacă nu se poate conecta, trebuie bifate drepturile de „conectare ca serviciu” sau „refuză conectarea ca serviciu”. Ar trebui să existe și un cod de stare secundară pentru eșecul de conectare.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Does NT SERVICE\MSSQLSERVER require Kerberos authentication if the sql instance is on the local machine?

TH: NT SERVICE\MSSQLSERVER ต้องการการตรวจสอบสิทธิ์ Kerberos หากอินสแตนซ์ sql อยู่ในเครื่องท้องถิ่นหรือไม่

RO: NT SERVICE\MSSQLSERVER necesită autentificare Kerberos dacă instanța sql este pe mașina locală?

RU: Требует ли NT SERVICE\MSSQLSERVER аутентификацию Kerberos, если экземпляр sql находится на локальном компьютере?

VI: NT SERVICE\MSSQLSERVER có yêu cầu xác thực Kerberos nếu phiên bản sql nằm trên máy cục bộ không?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.