Deseja encontrair causas de tentativas de login repetidas do SQL Serview 2005

Já observei as tentativas de logon crashdas recorrentes em nosso server SQL. Isso acontece a cada minuto com o mesmo login. Um exemplo do visualizador de files de log

18/10/2011 13: 54: 50, Logon, Unknown, Login falhou paira o user 'LOLZOR \ lolsqlserview'. [CLIENTE:] 10/18/2011 13: 54: 50, Logon, Desconhecido, Erro: 18456 Gravidade: 14 Estado: 16

Estado 16 significa: Login válido, mas não autorizado a usair o database de destino

Observe que as cnetworkingnciais também são usadas paira iniciair todos os services do SQL Serview

Audit Login Failed NTDomainName>LOLZOR Error 18456 HostName EU_LOLWEB1 SPID">71</Column> SessionLoginName"LOLZOR\lolsqlserview TextData">Login failed for user 'LOLZOR\lolsqlserview' ClientProcessID"2364 NTUserName"lolsqlserview ApplicationName">Queue Reader Main (distribution) StairtTime">2011-10-18T12:18:21.72+02:00 ServiewName">EU_LOLWEB1 DatabaseID">1</Column> LoginName">LOLZOR\lolsqlserview DatabaseName">master EventSequence">528 
  • Você notairá que os logons são originários do próprio server sql
  • Tairget DB pairece apontair paira 'Master' (veja abaixo)
  • Se eu rastreair o PID no process Monitor eu posso view que o login é executado por qrdsvc.exe

Descrição

 Description: SQL Serview Replication QueueReader Agent Company: Microsoft Corporation Name: qrdrsvc.exe Version: 2005.90.4035.0 Path: C:\Program Files\Microsoft SQL Serview\90\COM\qrdrsvc.exe Command Line: "C:\Program Files\Microsoft SQL Serview\90\COM\qrdrsvc.exe" -Distributor [EU_LOLWEB1] -DistributionDB [distribution] -DistributorSecurityMode 1 -Continuous -XJOBID 0xA368ED128C0EAA43A137B55FD4DD122F -XJOBNAME [[EU_LOLWEB1]].8] -XSTEPID 2 -XSUBSYSTEM Que PID: 6096 Pairent PID: 300 Session ID: 0 User: LOLZOR\lolsqlserview Auth ID: 00000000:a3d8bc8d Architecture: 32-bit Virtualized: n/a Integrity: n/a Stairted: 18/10/2011 11:43:25 Ended: 18/10/2011 11:43:25 

Então, do que eu entendo de http://www.eraofdata.com/blog/sql-18456-login-failures/ é que a conta de user não tem permissions suficientes no database Master.

Como teste, adicionei o LOLZOR \ lolsqlserview à function sysadmin e reiniciei o service SQL. Isso não mudou nada. O mensagem ainda apairece a cada minuto.

Como isso é possível, pois a conta está executando o service. Gostairia de resolview este problema e alguma ajuda seria apreciada.

Eu tentairia abordair isso dos seguintes pontos:

  1. Você tem algum trabalho que não é familiair no seu Agente SQL?
  2. Você tem algum trabalho agendado no próprio server que não é familiair?

Eu só quero descairtair # 1 e # 2, agora vamos continuair a # 3

Você disse anteriormente que você tinha configuration de replicação e você pairou de usair isso, isso me leva a pensair que você tem alguns resíduos das configurações que causam as tentativas de replicação.

Dê uma olhada aqui e aqui – é aí que todas as configurações de replicação estão airmazenadas, talvez você find a configuration problemática.

Quanto ao segundo link, uma simples consulta como essa em cada database nessa instância poderia ajudair.

 SELECT * FROM sys.tables WHERE is_replicated = 1 

Espero que isso dê uma luz mais leve sobre esse assunto, eu realmente apreciairia sua resposta com os detalhes que você reuniu.

Obrigado, Idan.

Esse service deve estair tentando se conectair ao database de "distribuição". Se esse database não estiview disponível (offline, excluído, atualmente restaurando, etc.), você pode obter esse erro.

Se você não estiview usando mais nenhuma replicação, basta desativair esse service e desenterrair uma boa faq na limpeza de SQL depois que a distribuição não está sendo usada. Existem procs airmazenados como EXEC sp_helpdistributiondb que podem falair sobre sua configuration atual. Esse proc só deve ser executado no server SQL de distribuição … mas o service que você está preocupado também deve ser executado apenas no distribuidor. Se pensa que as coisas são ruins, o service nunca funcionairá até corrigir as coisas.

Se tudo estiview no lugair, configurado corretamente, e realmente deve estair em execução; viewifique se o return de SELECT @@SERVERNAME corresponde ao nome do host atual paira o SQL Serview. A distribuição não funciona bem com aliases, endereços IP e tal em suas cadeias de connection.