我们的一位管理员注意到我们的一个 SQL Server 上的 Windows 事件日志中有一种奇怪的登录消息模式,经过一番调查,我发现在我们的大多数(但不是全部)SQL 上都可以找到相同的模式服务器。但是,我似乎无法找到来源。
图案:
- 与 Kerberos 身份验证相关的一系列四条消息每 29 分钟在受影响的服务器上出现。(不,这不是错字。)
- 该系列是 Windows 2003 和更早版本上的事件 ID 552、540、576 和 538(按此顺序)。在 Windows 2008 上,该系列为 4648、4624、4672 和 4634。
- 该系列的第一条消息说 SQL Server 的服务帐户正在使用我的凭据通过 Kerberos 进行身份验证。
- 第二条和第三条消息与使用我的凭据通过 Kerberos 登录和授予的权限有关。
- 第四个消息是注销。
- 该系列总是在 1 秒内发生。
我已经消除了我能想到的一切:
- Windows 事件日志中没有其他消息与这些消息相关。
- SQL Server 日志中没有与消息相关的消息。
- 没有 SQL Server 代理作业在该调度程序上运行。
- 任务计划程序在任何受影响的服务器上都没有作业。
- 我们的第 3 方作业计划程序没有任何按该计划运行的作业,也没有我的凭据。
- 我一度怀疑我们使用的是第 3 方显示器,但即使显示器完全关闭,也会产生这些消息。
- 没有使用其他具有服务帐户凭据或我的凭据的第三方监视器。
- 我们的链接服务器使用 SQL Server 身份验证,而不是 Windows 身份验证。
- 这些服务器混合了 SQL Server 2000、2005 和 2008,因此它不能与任何更新的 SQL Server 技术(例如 Service Broker)相关。
有没有人有任何其他建议来检查以找到这些消息的原因?
我通过运行不同的服务器端跟踪找到了答案。SQL Server 代理中的作业向操作系统请求信息,这导致它向 Windows 验证作业所有者。某些东西(Windows 或 SQL)显然正在缓存此身份验证,因此它不必频繁访问 Kerberos;29 分钟间隔必须是此缓存的超时时间。
谢谢大家,你们的帮助!