主页 / user-53747

Mike's questions

Martin Hope
Mike
Asked: 2021-01-26 21:02:31 +0800 CST
  • 4

今天我们发现我们的两个 SQL Server(都是 2017 CU21)正在接受来自任何随机域帐户的连接,即使是那些绝对没有直接登录或通过 AD 组成员身份访问的那些。

在每台服务器上都有一个用户数据库,允许这些随机域帐户进行连接。

根据我们看到的配置,我们预计任何随机域帐户(即任何在实例上没有登录名的帐户)都会出现登录失败,除此之外,还会阻止连接到用户数据库。

对于这些数据库,来宾帐户被禁用,但我们已经执行了良好的措施:

REVOKE CONNECT FROM guest

这没什么区别。

所以两个问题:

  1. 我们如何关闭/阻止这些公共连接成功?
  2. 什么 TSQL 语句可以向我们展示有问题的配置?

到目前为止我们已经看过的东西:

  • “公共”服务器角色似乎具有默认配置,与我们所有其他不存在问题的服务器相同
  • 来宾用户在所有数据库和服务器上肯定显示为禁用
  • “公共”数据库角色只有我们期望看到的默认权限
  • 每台服务器上只有 1 个用户数据库(加上 master 和 msdb 和 tempdb)可供这些随机帐户访问——所有其他数据库的行为都正常,即帐户无法连接到它们。
  • 数据库包含类型设置为“无”是所有情况。
  • 两台服务器上都没有覆盖所有域用户的登录名

一些上下文:这两个服务器是相关的——它们是同一应用程序的 DEV 和 PROD 服务器。这种配置很可能是出于某种历史原因而故意进行的——但现在在这里工作的人都不知道为什么,所以我们想禁用这种公共访问。

sql-server
Martin Hope
Mike
Asked: 2017-10-02 22:19:58 +0800 CST
  • 3

我们在(推送)事务复制拓扑中的每个 SQL Server 上使用来自公共 CA 的 SSL 证书,并希望为我们的分发代理设置 EncryptionLevel = 2。目前 EncryptionLevel 设置为 1,并且工作正常。(1 和 2 之间的区别是 1 告诉代理只使用加密,而 2 告诉它还验证 SSL 证书的证书链)

SSL 证书来自公共 CA。主题名称是服务器的完整 Windows FQDN (SERVER1.mywindowsdomain.com),主题备用名称列表包含完整的 DNS FQDN (MYAPP.MYDOMAIN.COM)。

我可以确认使用 SSMS 我可以正确连接到每个 SQL Server,而无需在连接对话框中勾选“信任服务器证书”,这意味着证书链已成功正确验证。

当我将 EncryptionLevel 更改为 = 2 时,我们的分发代理无法再连接到在同一台服务器上运行的发布者/分发者。这是有道理的,因为他们正在尝试连接到 SERVER1\DEV,而 SSL 证书用于公共 DNS 名称 - MYAPP.MYDOMAIN.COM,因此链验证失败。

因此,我正在寻找一种从头开始设置复制的方法,但使用 DNS 名称 (MYAPP.MYDOMAIN.COM) 而不是机器名称 (SERVER1)。

但是,当我执行以下命令时:

exec sp_adddistributor @distributor = N'MYAPP.MYDOMAIN.COM\DEV', @password = N'12345'

然后我收到以下错误消息:

消息 18483,级别 14,状态 1,第 48 行无法连接到服务器“SERVER1\DEV”,因为“distributor_admin”未定义为服务器上的远程登录。确认您指定了正确的登录名。. 消息 14114,级别 16,状态 1,过程 sp_adddistributiondb,第 169 行 [批处理起始行 65] 服务器“SERVER1\DEV”未配置为分发服务器。

请注意,此命令在过去运行良好:

exec sp_adddistributor @distributor = N'SERVER1\DEV', @password = N'12345'

经过大量谷歌搜索后,我尝试了很多变体。我努力了:

  • 在发布者上使用客户端别名(32+64 位)
  • 改变我的 SSMS 会话连接到服务器的方式,即连接对话服务器名称。我试过使用 SERVER1\DEV、MYAPP.MYDOMAIN.COM\DEV 和 SERVER1.mywindowsdomain.com\DEV。

任何有关下一步尝试的建议都将不胜感激。我很乐意探索 a) 让分发代理能够验证本地服务器的证书 [但请记住我不能修改 SSL 证书],或者 b) 完全从头开始重新创建复制,以便它使用 DNS FQDN,即。MYAPP.MYDOMAIN.COM\DEV.

注意:只是为了阻止任何人用谷歌搜索该错误消息并建议我们的 SQL 服务器可能已重命名,但事实并非如此。问题是机器名称与 DNS 名称。

sql-server replication
Martin Hope
Mike
Asked: 2016-03-29 20:56:50 +0800 CST
  • 0

我一直在我们的测试域中运行此命令:

sqlcmd -L

并且发现在所有有效结果中,它还返回了几个肯定没有安装 SQL 服务器的服务器。他们可能在遥远的过去安装了 SQL,但绝对不是现在。

这怎么可能?我原以为必须在服务器上安装并运行 SQL 浏览器才能响应 sqlcmd -L 广播。

如果有帮助,误报的服务器是: - 域控制器 - 用于 Microsoft SCCM 的服务器 - 用于 PKI 管理的服务器

谢谢迈克

sql-server sqlcmd