У нас есть следующая установка:
Все машины находятся в одном домене. Все используемые учетные записи пользователей являются учетными записями домена. SQL запускает по одному экземпляру каждого SQL Server 2005, 2008, 2008R2, 2012 и 2014.
С сегодняшнего дня (ОКРУГ КОЛУМБИЯ перезагружен для установки автоматических обновлений безопасности Windows), доступ к экземплярам SQL 2005, 2008 и 2008R2 через проверку подлинности Windows больше не работает должным образом:
При доступе к одному из этих экземпляров
возникает следующая ошибка (это сообщение 2008R2, сообщения 2005/2008 аналогичны):
Ошибка входа. Логин из ненадежного домена и не может использоваться с аутентификацией Windows. (Microsoft SQL Server, ошибка: 18452)
Очевидно, что текст сообщения не применяется, поскольку существует только один домен.
Теперь удивительная вещь: как только пользователь вошел в систему SQL (запуск RDP-сессии или просто запуск runas /user:MYDOMAIN\someuser cmd
и оставляя окно открытым), этот пользователь может без проблем получить доступ ко всем экземплярам SQL Server со всех клиентов, пока процесс, выполняющийся с учетными данными этого пользователя, не будет закрыт.
Это означает, что я могу просто обойти эту проблему, выполнив указанную выше команду runas для всех пользователей на SQL один раз (и держать окна открытыми), но, очевидно, что-то сильно сломано. Я подозреваю, что сегодняшние обновления безопасности на ОКРУГ КОЛУМБИЯ имеют какое-то отношение к этому (поскольку это единственное, что изменилось), но я бы предпочел избегать удаления и перезагрузки каждого из них (было установлено 12 обновлений и ОКРУГ КОЛУМБИЯ действительно старый и медленный).
Кто-нибудь сталкивался с этой проблемой раньше и знает, как ее исправить навсегда? Есть ли другие идеи (кроме как потратить следующие несколько дней на то, чтобы стать экспертом по Kerberos)?
проверьте, установил ли ваш DC обновление KB3002657 сегодня вечером. видеть http://support2.microsoft.com/?kbid=3002657 Я была такая же проблема. Удаление этого обновления решило проблему для меня.
У меня сработало следующее исправление с помощью групповой политики:
gpupdate /force
на пораженных компьютерах и серверах.