SQL Server 2012: Security_error_ring_buffer_recorded: ImpersonateSecurityContext

quelques serveurs que je gère enregistrent de nombreux événements dans la session system_health XE.

• nom : security_error_ring_buffer_recorded
• nom_api : ImpersonateSecurityContext
• nom_api_appelant : NLShimImpersonate
• code_erreur : 5023

Le code d'erreur 5023 doit être ( Codes d'erreur système ):

ERROR_INVALID_STATE    5023 (0x139F)

The group or resource is not in the correct state to perform the requested operation.

Je n'ai aucun événement de connexion échoué dans le journal de sécurité des événements, ni dans le journal SQL Server.

Je vais supposer que vous recherchez la définition et la cause profonde de ces événements.

De la façon dont cela fonctionne: tampon d'anneau de sécurité SQL Server 2005 SP2 - RING_BUFFER_SECURITY_ERROR ( archive ) :

SQL Server 2005 SP2 a ajouté de nouvelles entrées de tampon en anneau ( sys.dm_os_ring_buffers) pour diverses erreurs de sécurité. La raison pour laquelle les entrées du tampon en anneau ont été ajoutées était de fournir au DBA plus de détails sur la raison pour laquelle un client reçoit une connexion échouée ou une autre erreur de ce type.

Vous déclarez qu'aucune entrée de connexion n'a échoué dans le journal des événements ni dans le journal des erreurs. Au lieu de cela, vous pouvez interroger ce tampon en anneau directement:

SELECT CONVERT (varchar(30), GETDATE(), 121) as runtime,
dateadd (ms, (a.[Record Time] - sys.ms_ticks), GETDATE()) as [Notification_Time],
a.* , sys.ms_ticks AS [Current Time]
FROM
(SELECT
x.value('(//Record/Error/ErrorCode)[1]', 'varchar(30)') AS [ErrorCode],
x.value('(//Record/Error/CallingAPIName)[1]', 'varchar(255)') AS [CallingAPIName],
x.value('(//Record/Error/APIName)[1]', 'varchar(255)') AS [APIName],
x.value('(//Record/Error/SPID)[1]', 'int') AS [SPID],
x.value('(//Record/@id)[1]', 'bigint') AS [Record Id],
x.value('(//Record/@type)[1]', 'varchar(30)') AS [Type],
x.value('(//Record/@time)[1]', 'bigint') AS [Record Time]
FROM (SELECT CAST (record as xml) FROM sys.dm_os_ring_buffers
WHERE ring_buffer_type = 'RING_BUFFER_SECURITY_ERROR') AS R(x)) a
CROSS JOIN sys.dm_os_sys_info sys
ORDER BY a.[Record Time] ASC

Le délai de notification peut éclairer la cause première.

Je pense que vous constaterez que la date / heure des entrées s'alignera avec les entrées d'échec de connexion dans le journal des erreurs similaires à:

"Échec de la connexion pour l'utilisateur 'domaine \ utilisateur'. Raison: la validation de l'accès au serveur basé sur les jetons a échoué avec une erreur d'infrastructure. Vérifiez les erreurs précédentes. [CLIENT:] Erreur: 18456 Gravité: 14 État: 11."

À partir du dépannage des messages d'erreur d'échec de connexion spécifiques ( archive ) :

L'état 11 correspond à «Connexion valide mais échec d'accès au serveur» qui indique que la connexion est valide mais qu'il manque certains privilèges de sécurité qui lui permettraient d'accéder à l'instance.

3. Vérifiez si cette connexion est directement mappée à l'une des connexions SQL Server en consultant la sortie de sys.server_principals.
4. Si la connexion est directement mappée à l'une des connexions disponibles dans l'instance SQL, vérifiez si le SID de la connexion correspond au SID de la connexion Windows.

Si quelqu'un abandonne la connexion au niveau Windows / AD et l'ajoute à nouveau, il obtiendra un nouveau SID qui ne correspondra pas au SID que SQL a stocké dans son catalogue système et il échouera.