Wir haben das folgende Setup:
- Ein Domänencontroller ( DC , Server 2003 R2 Standard x64)
- Ein SQL Server ( SQL , Server 2008 R2 Standard x64)
- einige Kunden.
Alle Maschinen befinden sich in derselben Domäne. Alle verwendeten Benutzerkonten sind Domänenkonten. SQL führt jeweils eine Instanz von SQL Server 2005, 2008, 2008R2, 2012 und 2014 aus.
Seit heute Abend ( DC wurde neu gestartet, um automatische Windows-Sicherheitsupdates zu installieren) funktioniert der Zugriff auf die SQL 2005-, 2008- und 2008R2-Instanzen über die Windows-Authentifizierung nicht mehr ordnungsgemäß:
Beim Zugriff auf eine dieser Instanzen
- von einem der Kunden
- Verwenden der Windows-Authentifizierung
Der folgende Fehler tritt auf (es handelt sich um die Nachricht 2008R2, die Nachrichten 2005/2008 sind ähnlich):
Login fehlgeschlagen. Die Anmeldung stammt aus einer nicht vertrauenswürdigen Domäne und kann nicht mit der Windows-Authentifizierung verwendet werden. (Microsoft SQL Server, Fehler: 18452)
Offensichtlich gilt der Nachrichtentext nicht, da es nur eine Domain gibt.
Das Überraschende ist nun: Sobald der Benutzer in SQL angemeldet ist (eine RDP-Sitzung starten oder einfach nur ausführen runas /user:MYDOMAIN\someuser cmd
und das Fenster offen halten), kann dieser Benutzer von allen Clients aus problemlos auf alle SQL Server-Instanzen zugreifen, bis der Prozess ausgeführt wird Die Anmeldeinformationen dieses Benutzers sind geschlossen.
Dies bedeutet, dass ich dieses Problem einfach umgehen kann, indem ich den obigen Befehl runas für alle Benutzer in SQL einmal ausführe (und die Fenster offen halte ), aber offensichtlich ist etwas schwer beschädigt. Ich vermute, dass die heutigen Sicherheitsupdates auf DC etwas damit zu tun haben (da dies das einzige ist, was sich geändert hat), aber ich möchte lieber vermeiden, jedes einzelne zu deinstallieren und neu zu starten (12 Updates wurden installiert und DC ist wirklich alt und langsam).
Hat jemand dieses Problem schon einmal erlebt und weiß, wie man es dauerhaft behebt? Irgendwelche anderen Ideen (außer die nächsten Tage damit zu verbringen, Kerberos-Experte zu werden)?