La autenticación de Windows de SQL Server falla después de las actualizaciones de seguridad de esta noche: el inicio de sesión proviene de un dominio no confiable

8

Tenemos la siguiente configuración:

  • Un controlador de dominio ( DC , Server 2003 R2 Standard x64)
  • Un servidor SQL ( SQL , Server 2008 R2 Standard x64)
  • algunos clientes

Todas las máquinas están en el mismo dominio. Todas las cuentas de usuario en uso son cuentas de dominio. SQL ejecuta una instancia de cada SQL Server 2005, 2008, 2008R2, 2012 y 2014.

Desde esta noche ( DC reiniciado para instalar actualizaciones de seguridad automáticas de Windows), el acceso a las instancias de SQL 2005, 2008 y 2008R2 a través de la autenticación de Windows ya no funciona correctamente:

Al acceder a una de estas instancias

  • de uno de los clientes
  • usando la autenticación de Windows

se produce el siguiente error (es el mensaje 2008R2, los mensajes 2005/2008 son similares):

Error de inicio de sesion. El inicio de sesión es de un dominio no confiable y no se puede usar con la autenticación de Windows. (Microsoft SQL Server, error: 18452)

Obviamente, el texto del mensaje no se aplica, ya que solo hay un dominio.

Ahora lo sorprendente es: en cuanto el usuario inicia sesión en SQL (iniciando una sesión RDP o incluso simplemente ejecutando runas /user:MYDOMAIN\someuser cmdy manteniendo la ventana abierta), este usuario puede acceder a todas las instancias de SQL Server desde todos los clientes sin ningún problema hasta que el proceso se ejecute con las credenciales de ese usuario están cerradas.

Esto significa que puedo solucionar este problema ejecutando el comando runas anterior para todos los usuarios en SQL una vez (y manteniendo las ventanas abiertas), pero, obviamente, algo está gravemente roto. Sospecho que las actualizaciones de seguridad de esta noche en DC tienen algo que ver con eso (ya que eso es lo único que cambió), pero prefiero evitar desinstalar y reiniciar cada una de ellas (se instalaron 12 actualizaciones y DC es realmente viejo y lento).

¿Alguien ha encontrado este problema antes y sabe cómo solucionarlo permanentemente? ¿Alguna otra idea (aparte de pasar los próximos días convirtiéndose en un experto en Kerberos)?

active-directory  windows-server-2003  sql-server  kerberos 
Heinzi
fuente
¿Has comprobado el reloj de tu DC? Si bien no puedo explicar la discrepancia de la instancia, un reloj de DC incorrecto causa el comportamiento que explica cuando se limita a mirar una instancia. También es posible que desee ver la actualización de su sistema operativo DC a medida que se acerca el final de su vida útil.
Recurre el
@Reaces: Gracias por la pista, pero los relojes son perfectamente sincronizados. Sí, DC es la próxima máquina programada para reemplazo.
Heinzi

Respuestas:

7

compruebe si su DC instaló la actualización KB3002657 esta noche. consulte http://support2.microsoft.com/?kbid=3002657 Tuve el mismo problema. Desinstalar esta actualización resolvió el problema para mí.

Simson
fuente
Bien visto, lo descubrí yo mismo y quería escribir exactamente lo mismo. :-) Aparentemente, KB3002657 causa muchos problemas hoy .
Heinzi
Algunos clientes mostrarán el mensaje de error "El inicio de sesión es de un dominio no confiable". por ejemplo, si se conecta a través de RDP o en un servidor MSSQL. Simplemente elimine el host al que desea conectarse de su dominio y agréguelo nuevamente.
Simson
2

La siguiente solución a través de la Política de grupo funcionó para mí:

  1. Administrador de directiva de grupo abierto
  2. Vaya a Configuración del equipo >> Configuración de Windows >> Políticas locales >> Opciones de seguridad
  3. Haga doble clic en "Seguridad de red: nivel de autenticación de LAN Manager"
  4. Cambie la opción de "Enviar respuestas NTLM" a "Enviar respuestas LM y NTLM"
  5. Ejecutar gpupdate /forceen las computadoras y servidores afectados.
Ron DeFulio
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.