Die SQL Server-Windows-Authentifizierung schlägt nach den heutigen Sicherheitsupdates fehl: Die Anmeldung erfolgt von einer nicht vertrauenswürdigen Domäne

8

Wir haben das folgende Setup:

  • Ein Domänencontroller ( DC , Server 2003 R2 Standard x64)
  • Ein SQL Server ( SQL , Server 2008 R2 Standard x64)
  • einige Kunden.

Alle Maschinen befinden sich in derselben Domäne. Alle verwendeten Benutzerkonten sind Domänenkonten. SQL führt jeweils eine Instanz von SQL Server 2005, 2008, 2008R2, 2012 und 2014 aus.

Seit heute Abend ( DC wurde neu gestartet, um automatische Windows-Sicherheitsupdates zu installieren) funktioniert der Zugriff auf die SQL 2005-, 2008- und 2008R2-Instanzen über die Windows-Authentifizierung nicht mehr ordnungsgemäß:

Beim Zugriff auf eine dieser Instanzen

  • von einem der Kunden
  • Verwenden der Windows-Authentifizierung

Der folgende Fehler tritt auf (es handelt sich um die Nachricht 2008R2, die Nachrichten 2005/2008 sind ähnlich):

Login fehlgeschlagen. Die Anmeldung stammt aus einer nicht vertrauenswürdigen Domäne und kann nicht mit der Windows-Authentifizierung verwendet werden. (Microsoft SQL Server, Fehler: 18452)

Offensichtlich gilt der Nachrichtentext nicht, da es nur eine Domain gibt.

Das Überraschende ist nun: Sobald der Benutzer in SQL angemeldet ist (eine RDP-Sitzung starten oder einfach nur ausführen runas /user:MYDOMAIN\someuser cmdund das Fenster offen halten), kann dieser Benutzer von allen Clients aus problemlos auf alle SQL Server-Instanzen zugreifen, bis der Prozess ausgeführt wird Die Anmeldeinformationen dieses Benutzers sind geschlossen.

Dies bedeutet, dass ich dieses Problem einfach umgehen kann, indem ich den obigen Befehl runas für alle Benutzer in SQL einmal ausführe (und die Fenster offen halte ), aber offensichtlich ist etwas schwer beschädigt. Ich vermute, dass die heutigen Sicherheitsupdates auf DC etwas damit zu tun haben (da dies das einzige ist, was sich geändert hat), aber ich möchte lieber vermeiden, jedes einzelne zu deinstallieren und neu zu starten (12 Updates wurden installiert und DC ist wirklich alt und langsam).

Hat jemand dieses Problem schon einmal erlebt und weiß, wie man es dauerhaft behebt? Irgendwelche anderen Ideen (außer die nächsten Tage damit zu verbringen, Kerberos-Experte zu werden)?

active-directory windows-server-2003 sql-server kerberos Heinzi
quelle
Haben Sie die Uhr Ihres DC überprüft? Obwohl ich die Instanzdiskrepanz nicht erklären kann, führt die falsche Uhr eines DCs zu dem Verhalten, das Sie erklären, wenn Sie sich darauf beschränken, eine Instanz zu betrachten. Vielleicht möchten Sie auch ein Upgrade Ihres DC-Betriebssystems in Betracht ziehen, wenn sich das Ende der Lebensdauer nähert.
Reagiert am
@Reaces: Danke für den Hinweis, aber die Uhren sind perfekt synchron. Ja, der DC ist die nächste Maschine, deren Austausch geplant ist.
Heinzi

Antworten:

7

Überprüfen Sie, ob Ihr DC heute Abend das Update KB3002657 installiert hat. siehe http://support2.microsoft.com/?kbid=3002657 Ich hatte das gleiche Problem. Die Deinstallation dieses Updates hat das Problem für mich gelöst.

Simson
quelle
Gut entdeckt, habe ich das gerade selbst entdeckt und wollte genau das Gleiche schreiben. :-) Anscheinend verursacht KB3002657 heute viel Ärger .
Heinzi
Einige Clients zeigen die Fehlermeldung "Die Anmeldung stammt von einer nicht vertrauenswürdigen Domäne" an. zB wenn Sie sich über RDP oder an einem MSSQL-Server verbinden. Entfernen Sie einfach den Host, zu dem Sie eine Verbindung herstellen möchten, aus Ihrer Domain und fügen Sie ihn erneut hinzu.
Simson
2

Der folgende Fix über Gruppenrichtlinien hat bei mir funktioniert:

  1. Öffnen Sie den Gruppenrichtlinienadministrator
  2. Navigieren Sie zu Computerkonfiguration >> Windows-Einstellungen >> Lokale Richtlinien >> Sicherheitsoptionen
  3. Doppelklicken Sie auf "Netzwerksicherheit: LAN Manager-Authentifizierungsstufe".
  4. Ändern Sie die Option von "NTLM-Antworten senden" in "LM- und NTLM-Antworten senden".
  5. Führen Sie gpupdate /forceauf den betroffenen Computern und Servern.
Ron DeFulio
quelle