Temos um servidor executando o SQL 2008 R1. Temos um servidor da Web na DMZ que se conecta por meio do firewall ao servidor SQL e executa relatórios do SQL Reporting Services usando uma conta de usuário de domínio.
No servidor SQL, o log de eventos auditou eventos de "Logon de Conta" com falha (ID de evento 680, código 0xC0000064) para este usuário de domínio. No entanto, para cada um desses eventos de falha, há um evento de Logon / Logoff bem-sucedido (ID de evento 540) para a mesma conta de domínio. Deve-se observar que o nome de usuário nos eventos de logon de conta é especificado como o UPN [email protected]), mas o nome de usuário nos eventos de logon / logoff é especificado como DOMAIN \ Username. Esses eventos devem estar relacionados ao SSRS, já que essa é a única conexão que deve estar usando a conta em questão.
Além disso, ao monitorar nosso controlador de domínio, cada vez que um dos eventos de Logon da conta é exibido, o uso da CPU do controlador de domínio aumenta para 80% ou mais. Não tenho certeza se os dois estão relacionados.
Na minha pesquisa, tudo o que li indica que os eventos de Logon da conta são registrados pelos controladores de domínio durante a autenticação de um usuário. Portanto, minhas perguntas são:
- Por que meus eventos de Logon da conta de registro do servidor SQL se supõe que sejam um evento de controlador de domínio?
- Por que o UPN é especificado em um evento, mas o formato DOMAIN \ Username especificado em outro evento?
- Não estou percebendo nenhuma interrupção no meu aplicativo, portanto, os logons com falha não estão afetando isso. Por que isso seria?
ATUALIZAÇÃO:
Também temos o mesmo aplicativo da Web em execução na nossa Intranet. Acabei de notar que este aplicativo não faz com que esses mesmos eventos sejam gerados. Quando esse aplicativo se conecta ao SSRS, ele registra alguns eventos de Logon / Logoff bem-sucedidos, mas nenhum evento de Logon de Conta. Portanto, isso parece estar relacionado ao outro servidor estar na DMZ. Também notei que os eventos gerados pelas conexões da Intranet mostram o Kerberos como o método de autenticação usado. No entanto, os eventos de Logon / Logoff bem-sucedidos gerados a partir das conexões DMZ indicam o NTLM.