SQL Server Windows Authentication gagal setelah pembaruan keamanan malam ini: Login berasal dari domain yang tidak dipercaya

8

Kami memiliki pengaturan berikut:

  • One Domain Controller ( DC , Server 2003 R2 Standard x64)
  • Satu SQL Server ( SQL , Server 2008 R2 Standard x64)
  • beberapa klien.

Semua mesin berada di domain yang sama. Semua akun pengguna yang digunakan adalah akun domain. SQL menjalankan satu contoh dari setiap SQL Server 2005, 2008, 2008R2, 2012 dan 2014.

Sejak malam ini ( DC reboot untuk menginstal pembaruan keamanan Windows otomatis), mengakses contoh SQL 2005, 2008 dan 2008R2 melalui otentikasi Windows tidak berfungsi dengan baik lagi:

Saat mengakses salah satu contoh ini

  • dari salah satu klien
  • menggunakan otentikasi Windows

kesalahan berikut terjadi (ini adalah pesan 2008R2, pesan 2005/2008 serupa):

Gagal masuk. Info masuk berasal dari domain yang tidak terpercaya dan tidak dapat digunakan dengan otentikasi Windows. (Microsoft SQL Server, Kesalahan: 18452)

Jelas, teks pesan tidak berlaku, karena hanya ada satu domain.

Sekarang hal yang mengejutkan adalah: Segera setelah pengguna login pada SQL (memulai sesson RDP atau bahkan hanya menjalankan runas /user:MYDOMAIN\someuser cmddan menjaga jendela terbuka), pengguna ini dapat mengakses semua contoh SQL Server dari semua klien tanpa masalah sampai proses berjalan dengan kredensial pengguna ditutup.

Ini berarti bahwa saya bisa menyelesaikan masalah ini dengan menjalankan perintah runas di atas untuk semua pengguna di SQL sekali (dan menjaga windows terbuka), tetapi, jelas, ada sesuatu yang rusak parah. Saya menduga pembaruan keamanan malam ini pada DC ada hubungannya dengan itu (karena itu satu-satunya hal yang berubah), tapi saya lebih suka menghindari menghapus dan me-reboot masing-masing (12 pembaruan diinstal dan DC benar-benar tua dan lambat).

Adakah yang pernah mengalami masalah ini sebelumnya dan tahu bagaimana cara memperbaikinya secara permanen? Adakah ide lain (selain menghabiskan beberapa hari berikutnya menjadi ahli Kerberos)?

active-directory windows-server-2003 sql-server kerberos Heinzi
sumber
Sudahkah Anda memeriksa jam DC Anda? Meskipun saya tidak bisa menjelaskan perbedaan contoh, jam DC yang salah tidak menyebabkan perilaku Anda menjelaskan ketika membatasi diri Anda untuk melihat satu contoh. Anda juga mungkin ingin melihat peningkatan OS DC Anda karena akhir kehidupan sudah dekat.
Reaces
@Reaces: Terima kasih atas petunjuknya, tetapi jam benar-benar sinkron. Ya, DC adalah mesin berikutnya yang dijadwalkan untuk diganti.
Heinzi

Jawaban:

7

periksa apakah DC Anda menginstal pembaruan KB3002657 malam ini. lihat http://support2.microsoft.com/?kbid=3002657 Saya memiliki masalah yang sama. Menghapus instalasi pembaruan ini memecahkan masalah bagi saya.

simson
sumber
Terlihat dengan baik, saya baru tahu sendiri dan ingin menulis hal yang persis sama. :-) Rupanya KB3002657 menyebabkan banyak masalah hari ini .
Heinzi
Beberapa Klien akan menampilkan Pesan Kesalahan "Login berasal dari domain yang tidak dipercaya". mis. jika Anda terhubung melalui RDP atau di MSSQL-Server. Hapus saja Host yang ingin Anda sambungkan dari domain Anda dan tambahkan lagi.
simson
2

Perbaikan berikut melalui Kebijakan Grup berfungsi untuk saya:

  1. Buka Administrator Kebijakan Grup
  2. Buka Konfigurasi Komputer >> Pengaturan Windows >> Kebijakan Lokal >> Opsi Keamanan
  3. Klik dua kali "Keamanan Jaringan: tingkat otentikasi Manajer LAN"
  4. Ubah opsi dari "Kirim Respons NTLM" ke "Kirim respons LM & NTLM"
  5. Jalankan gpupdate /forcedi komputer dan server yang terpengaruh.
Ron DeFulio
sumber