web-dev-qa-db-fra.com

L'authentification SQL Server Windows échoue après la mise à jour de sécurité de ce soir: le login provient d'un domaine non approuvé.

Nous avons la configuration suivante:

  • Un contrôleur de domaine ([~ # ~ # ~] DC [~ # ~ ~], Server 2003 R2 Standard x64)
  • Un serveur SQL ([~ # ~ # ~] SQL [~ # ~ ~], Server 2008 R2 Standard x64)
  • certains clients.

Toutes les machines sont dans le même domaine. Tous les comptes d'utilisateur utilisés sont des comptes de domaine. SQL exécute une instance de chaque serveur SQL 2005, 2008, 2008R2, 2012 et 2014.

Depuis ce soir (-[~ # ~] DC [~ # ~ ~] redémarre pour installer les mises à jour de sécurité Windows automatiques), accéder aux instances SQL 2005, 2008 et 2008R2 via l'authentification Windows ne fonctionne plus correctement:

En accédant à l'une de ces instances

  • d'un des clients
  • utilisation de l'authentification Windows

l'erreur suivante se produit (il s'agit du message 2008R2, les messages 2005/2008 sont similaires):

Échec de la connexion. Le login provient d'un domaine non approuvé et ne peut pas être utilisé avec l'authentification Windows. (Microsoft SQL Server, erreur: 18452)

De toute évidence, le texte du message ne s'applique pas, car il n'y a qu'un seul domaine.

Maintenant, la chose surprenante est la suivante: dès que l'utilisateur est connecté sur [~ # ~ # ~] SQL [~ # ~ ~] (Démarrer un Sesson RDP ou même simplement en cours d'exécution runas /user:MYDOMAIN\someuser cmd et garder la fenêtre ouverte), cet utilisateur peut accéder à toutes les instances SQL Server de tous les clients sans aucun problème tant que le processus de fonctionnement de ces informations d'identification est fermé.

Cela signifie que je peux simplement contourner ce problème en exécutant la commande ci-dessus Runas pour tous les utilisateurs sur [~ # ~ # ~] SQL [~ # ~] une fois (et en gardant les fenêtres ouvertes), mais, évidemment, quelque chose est gravement brisé. Je soupçonne que les mises à jour de sécurité de ce soir sur DC Avoir quelque chose à voir avec elle (car c'est la seule chose qui a changé), mais je préfère éviter de désinstaller et de redémarrer chacun L'un d'entre eux (12 mises à jour ont été installées et [~ # ~ # ~] DC [~ # ~] est vraiment vieux et lent).

Quelqu'un a-t-il rencontré cette question avant et sait comment le réparer de manière permanente? Toute autre idée (autre que de dépenser les prochains jours de devenir un expert de Kerberos)?

active-directorywindows-server-2003sql-serverkerberos
8
Heinzi

vérifiez si votre DC a installé la mise à jour KB3002657 ce soir. Voir http://support2.microsoft.com/?kbid=3002657 J'avais le même problème. Désinstallation de cette mise à jour résolu le problème pour moi.

7
simson

La solution suivante via la politique de groupe a fonctionné pour moi:

  1. Administrateur de la politique du groupe ouvert
  2. Accédez à la configuration de l'ordinateur >> Paramètres Windows >> Pologices locaux >> Options de sécurité
  3. Double-cliquez sur "Sécurité du réseau: niveau d'authentification LAN Manager"
  4. Modifier l'option de "Envoyer des réponses NTLM" à "Envoyer des réponses LM & NTLM"
  5. Courir gpupdate /force sur des ordinateurs et des serveurs affectés.
2
Ron DeFulio

Je n'ai pas les détails exacts, mais nous avions les mêmes symptômes et contournements de contournement avec la session RDP. J'ai alerté le groupe informatique à cette solution de Simson et ils ont dit qu'ils désinstalleraient la mise à jour de la sécurité, qui avait été appliquée au cours du week-end. Cela semble avoir résolu le problème.

1
Mike B