Événements d'un compte d'entrée infructueux
Nous avons un serveur en cours d'exécution SQL 2008 R1. Nous avons un serveur Web dans une zone démilitarisée, qui via le pare-feu se connecte au serveur. SQL et effectue des rapports de service de rapport SQL En utilisant le compte d'utilisateur du domaine.
Sur le serveur SQL Dans le journal des événements, un audit d'événements infructueux "Connectez-vous au compte" (Événements d'identifiant 680, le code 0xC0000064) Pour ce domaine utilisateur. Cependant, pour chacun de ces événements d'événements, un événement de saisie réussie. / Production (Événements d'identifiant 540) Pour le même compte de domaine. Il convient de noter que le nom d'utilisateur dans les événements d'entrée au compte est indiqué comme indiqué UPN username@domain.com), Mais le nom d'utilisateur dans les événements d'entrée / La sortie est indiquée comme DOMAIN \ Username. Ces événements devraient être associés à SSRS, Comme il s'agit de la seule connexion que ce compte doit utiliser.
En outre, lorsqu'il est surveillé par notre contrôleur de domaine, chaque fois que l'un des événements de connexion apparaît, le chargement du contrôleur de domaine augmente fortement à 80% ou plus. Je ne sais pas s'ils sont connectés les uns avec les autres.
Dans mon étude, tout ce que j'ai lu, indique que les événements d'entrée sur le compte sont enregistrés par les contrôleurs de domaine lors de l'authentification de l'utilisateur. Par conséquent, mes questions:
Pourquoi mon serveur SQL enregistre-t-il des événements de connexion s'il doit être un événement de contrôleur de domaine?
Pourquoi UPN indiqué dans un événement et le format DOMAIN \ Username spécifié dans un autre événement?
Je ne remarque pas de problèmes dans votre application, de sorte que les tentatives infructueuses de vous connecter ne l'affectent pas. Pourquoi pourrait-il être?
Rafraîchir:
Nous avons la même application Web opérant dans notre intranet. Je viens de remarquer que cette application ne provoque pas la génération des mêmes événements. Lorsque cette application se connecte à SSRS, Il enregistre une paire d'événements d'entrée réussie. / Sortie, mais n'inscrit pas du tout les événements de connexion. Ainsi, il semble que cela soit dû au fait qu'un autre serveur est dans DMZ. J'ai également remarqué que les événements générés par les connexions intranet montrent Kerberos Comme méthode d'authentification utilisée. Cependant, des événements d'entrée réussie / sortie générée à partir de connexions DMZ, pointer vers NTLM.
Sur le serveur SQL Dans le journal des événements, un audit d'événements infructueux "Connectez-vous au compte" (Événements d'identifiant 680, le code 0xC0000064) Pour ce domaine utilisateur. Cependant, pour chacun de ces événements d'événements, un événement de saisie réussie. / Production (Événements d'identifiant 540) Pour le même compte de domaine. Il convient de noter que le nom d'utilisateur dans les événements d'entrée au compte est indiqué comme indiqué UPN username@domain.com), Mais le nom d'utilisateur dans les événements d'entrée / La sortie est indiquée comme DOMAIN \ Username. Ces événements devraient être associés à SSRS, Comme il s'agit de la seule connexion que ce compte doit utiliser.
En outre, lorsqu'il est surveillé par notre contrôleur de domaine, chaque fois que l'un des événements de connexion apparaît, le chargement du contrôleur de domaine augmente fortement à 80% ou plus. Je ne sais pas s'ils sont connectés les uns avec les autres.
Dans mon étude, tout ce que j'ai lu, indique que les événements d'entrée sur le compte sont enregistrés par les contrôleurs de domaine lors de l'authentification de l'utilisateur. Par conséquent, mes questions:
Pourquoi mon serveur SQL enregistre-t-il des événements de connexion s'il doit être un événement de contrôleur de domaine?
Pourquoi UPN indiqué dans un événement et le format DOMAIN \ Username spécifié dans un autre événement?
Je ne remarque pas de problèmes dans votre application, de sorte que les tentatives infructueuses de vous connecter ne l'affectent pas. Pourquoi pourrait-il être?
Rafraîchir:
Nous avons la même application Web opérant dans notre intranet. Je viens de remarquer que cette application ne provoque pas la génération des mêmes événements. Lorsque cette application se connecte à SSRS, Il enregistre une paire d'événements d'entrée réussie. / Sortie, mais n'inscrit pas du tout les événements de connexion. Ainsi, il semble que cela soit dû au fait qu'un autre serveur est dans DMZ. J'ai également remarqué que les événements générés par les connexions intranet montrent Kerberos Comme méthode d'authentification utilisée. Cependant, des événements d'entrée réussie / sortie générée à partir de connexions DMZ, pointer vers NTLM.
Aucun résultat connexe trouvé
Invité:
Pour répondre aux questions, connectez-vous ou registre
1 réponses
Babette
Confirmation de:
L'authentification des utilisateurs de confiance n'est pas effectuée sur le serveur en cours d'exécution. Windows Server 2003, Si le format est utilisé UPN Et si la valeur d'enregistrement LmCompatibilityLevel Également ou plus 3
http://support.microsoft.com/kb/947861
LmCompatibilityLevel
http://technet.microsoft.com/e ... .aspx