A autenticação do Windows do SQL Server falha após as atualizações de segurança desta noite: O logon é de um domínio não confiável

8

Temos a seguinte configuração:

  • Um controlador de domínio ( DC , Server 2003 R2 Standard x64)
  • Um SQL Server ( SQL , Server 2008 R2 Standard x64)
  • alguns clientes.

Todas as máquinas estão no mesmo domínio. Todas as contas de usuário em uso são contas de domínio. O SQL executa uma instância de cada SQL Server 2005, 2008, 2008R2, 2012 e 2014.

Desde esta noite (o DC reinicializou para instalar as atualizações de segurança automáticas do Windows), o acesso às instâncias do SQL 2005, 2008 e 2008R2 por meio da autenticação do Windows não funciona mais:

Ao acessar uma dessas instâncias

  • de um dos clientes
  • usando autenticação do Windows

o seguinte erro ocorre (é a mensagem 2008R2, as mensagens 2005/2008 são semelhantes):

Falha na autenticação. O logon é de um domínio não confiável e não pode ser usado com autenticação do Windows. (Microsoft SQL Server, erro: 18452)

Obviamente, o texto da mensagem não se aplica, pois existe apenas um domínio.

Agora, o mais surpreendente é: assim que o usuário estiver conectado ao SQL (iniciando uma sessão RDP ou simplesmente executando runas /user:MYDOMAIN\someuser cmde mantendo a janela aberta), esse usuário poderá acessar todas as instâncias do SQL Server de todos os clientes sem problemas até o processo em execução com as credenciais desse usuário estão fechadas.

Isso significa que eu posso solucionar esse problema executando o comando runas acima para todos os usuários do SQL uma vez (e mantendo as janelas abertas), mas, obviamente, algo está gravemente quebrado. Eu suspeito que as atualizações de segurança desta noite no DC tenham algo a ver com isso (já que essa foi a única coisa que mudou), mas prefiro evitar desinstalar e reiniciar cada uma delas (12 atualizações foram instaladas e o DC é muito antigo e lento).

Alguém já encontrou esse problema antes e sabe como corrigi-lo permanentemente? Alguma outra idéia (além de passar os próximos dias se tornando um especialista em Kerberos)?

active-directory windows-server-2003 sql-server kerberos Heinzi
fonte
Você verificou o relógio do seu controlador de domínio? Embora eu não possa explicar a discrepância da instância, o relógio de um controlador de domínio estar errado causa o comportamento que você explica ao se limitar a olhar para uma instância. Além disso, convém atualizar o seu sistema operacional DC quando o fim da vida útil estiver chegando.
Reace
@ Reaces: Obrigado pela dica, mas os relógios são perfeitamente síncronos. Sim, o controlador de domínio é a próxima máquina programada para substituição.
Heinzi 12/03/2015

Respostas:

7

verifique se o seu controlador de domínio instalou a atualização KB3002657 hoje à noite. consulte http://support2.microsoft.com/?kbid=3002657 Eu tive o mesmo problema. A desinstalação desta atualização resolveu o problema para mim.

simson
fonte
Bem descoberto, acabei de descobrir isso e queria escrever exatamente a mesma coisa. :-) Aparentemente, o KB3002657 causa muitos problemas hoje .
Heinzi 12/03/2015
Alguns clientes mostrarão a mensagem de erro "O logon é de um domínio não confiável". por exemplo, se você se conectar via RDP ou em um servidor MSSQL. Basta remover do seu domínio o host ao qual você deseja se conectar e adicioná-lo novamente.
simson
2

A seguinte correção via Diretiva de Grupo funcionou para mim:

  1. Abra o Administrador de Diretiva de Grupo
  2. Navegue para Configuração do computador >> Configurações do Windows >> Políticas locais >> Opções de segurança
  3. Clique duas vezes em "Segurança de rede: nível de autenticação do LAN Manager"
  4. Altere a opção de "Enviar respostas NTLM" para "Enviar respostas LM e NTLM"
  5. Execute gpupdate /forcenos computadores e servidores afetados.
Ron DeFulio
fonte