SQL ServerサービスアカウントがDACに接続する理由
アラートの取得を開始しました:
最大数の「1」の専用管理者接続がすでに存在するため、接続できませんでした。新しい接続を行う前に、ログオフするかプロセスを終了することにより、既存の専用管理者接続をドロップする必要があります。 [クライアント:127.0.0.1]
SQLジョブと保持テーブルの助けを借りて、接続を試行しているのはSQL Serverサービスアカウントであることがわかりました。 12:00 16:00など、プログラム名はNet SqlClient Data Provider。 jadarnel27の提案に従ってHost_process_id列を追加し、PIDを特定しましたが、タスクマネージャーに同じPIDのプロセスはありませんでした。奇妙なことに、ログにはエントリがありません。「専用の管理接続サポートが確立されました」、次のものだけです:
16:00:05ユーザー 'sql service user'のログインが成功しました。 Windows認証を使用して作成された接続。 [クライアント:Windowsフェールオーバークラスター仮想アダプターのIPアドレス]
16:00:05最大数の「1」の専用管理者接続がすでに存在するため、接続できませんでした。新しい接続を行う前に、ログオフするかプロセスを終了することにより、既存の専用管理者接続をドロップする必要があります。 [クライアント:127.0.0.1]
16:00:11専用管理者接続が切断されました。これは情報メッセージです。ユーザーの操作は必要ありません。
WindowsイベントビューアログまたはWindowsクラスタログに手掛かりはありません。これは、AlwaysOn可用性グループのアクティブノードでのみ発生します。それらの時間に実行するように構成されたジョブ/ポートスキャンも他のタスクもありません。私は Dedicated Admin Connectionを使用したユーザーを見つける方法 を見てきましたが、どのアカウントがDACを使用したかを知っていますが、その理由がわかりません。問題をさらにトラブルシューティングするにはどうすればよいですか?
編集:問題の原因を見つけました。これは、可用性グループのサーバーオブジェクトを同期するPowerShellスクリプトで、ポート1433で実行するように設定されていました。 DACに接続しようとした理由はわかりませんが、単純な再起動で問題が解決しました!返信してくださった皆さん、ありがとうございました!
Kin彼の答え で言及されているように、これはSQL Serverボックスでローカルに実行されているウイルススキャナーまたはポートスキャナーのようなものです。特にこれらの手がかりを考えると:
- 2つの異なるローカルIPアドレスからのもの
- Windowsフェールオーバークラスター仮想アダプターのIPアドレス
- 127.0.0.1の従来の「localhost」IP
- ログイン名はSQL Serverサービスアカウントと同じです
SQL Serverサービスと同じWindowsアカウントで実行するように構成されていると思われるものは何でも、これにより混乱が生じます。
これらの情報を前提として、他に何ができますか?ロギングしているのでdm_exec_sessionsをテーブルに追加して、この情報を既にキャプチャしてください。Host_process_id列。これは、実際にこれらの接続を確立しているプロセスに関する最大の手がかりとなるはずです。次に、タスクマネージャを調べて、同じPIDを持つプロセスを見つけます。
これは、セキュリティチームが脆弱性を見つけるために使用している可能性のあるポート/ウイルススキャナーであることを確認します。弱いパスワード。同じ問題が発生し、最終的にはポートスキャナーであることがわかりました。
Windowsイベントログも調べます。