Требует ли NT SERVICE\MSSQLSERVER аутентификацию Kerberos, если экземпляр sql находится на локальном компьютере?

SophisticatedBear

20.03.2023, 00:30

Сегодня у меня возникла странная проблема, когда NT SERVICE\MSSQLSERVER было отказано в входе в качестве службы на компьютере, присоединенном к домену. Я также заметил, что групповая политика не применялась через gpupdate /force. Я отключил компьютер от домена, удалил объект AD, заново создал объект AD и снова присоединился к домену. Компьютер успешно вытащил политику, и SQL Express заработал. Я знаю, что объекты групповой политики не имеют к этому никакого отношения, потому что я рыскал через них, чтобы увидеть, была ли политика, разрешающая вход в виртуальную учетную запись в качестве службы, и ничего подобного не было. Сейчас применяются только три объекта групповой политики, и они не связаны между собой.Я изо всех сил пытаюсь понять, как это устранило проблему с SQL. Единственное, что имело бы смысл, несмотря на то, что экземпляр SQL является локальным, компьютеру по-прежнему требовался токен kerberos для входа в качестве службы. Когда я снова присоединился к домену, это исправило соединение с DC, разрешив аутентификацию. Имеет ли это смысл?

Спасибо, ребята.

0 + 0

звездочка

sql-сервер

Greg Askew

20.03.2023, 13:29

«Я знаю, что объекты групповой политики не имеют к этому никакого отношения, потому что я просмотрел их, чтобы увидеть, существует ли политика, позволяющая входить в систему с виртуальной учетной записью в качестве службы, и ничего подобного не было». Вы должны были проверить политики безопасности системы вместо групповой политики. Также вы, вероятно, уничтожили информацию, необходимую для оценки проблемы.Тот факт, что что-то может быть «непонятно», не означает, что это проблема Active Directory или проблемы групповой политики.

Ответить

SophisticatedBear

22.03.2023, 16:35

@GregAskew, я согласен с твоей философией. В такой ситуации, что бы вы проверили с помощью локальной политики безопасности? Просто посмотреть, что было включено? Или вы действительно имели в виду что-то конкретное. Спасибо.

Ответить

Greg Askew

22.03.2023, 20:05

Если он не может войти в систему, следует проверить права «вход в качестве службы» или «запрет входа в систему в качестве службы». Также должен быть код подстатуса для ошибки входа в систему.

Ответить

Admin

Этот вопрос на других языках:

EN: Does NT SERVICE\MSSQLSERVER require Kerberos authentication if the sql instance is on the local machine?

TH: NT SERVICE\MSSQLSERVER ต้องการการตรวจสอบสิทธิ์ Kerberos หากอินสแตนซ์ sql อยู่ในเครื่องท้องถิ่นหรือไม่

RO: NT SERVICE\MSSQLSERVER necesită autentificare Kerberos dacă instanța sql este pe mașina locală?

RU: Требует ли NT SERVICE\MSSQLSERVER аутентификацию Kerberos, если экземпляр sql находится на локальном компьютере?

VI: NT SERVICE\MSSQLSERVER có yêu cầu xác thực Kerberos nếu phiên bản sql nằm trên máy cục bộ không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.