[XP] SQL Management Studio verstuurt onjuiste credentials?*

Beste mede-tweakers,

ik zit al een ruime 1,5 week met een vrij irritant probleem, namelijk dat mijn Windows om de een of andere reden met regelmaat foute accountgegevens over de lijn stuurt naar de domain server. Wat als gevolg heeft dat mijn account geblocked wordt en ik weer naar de Helpdesk moet bellen om mijn account te laten unlocken. De ene dag gebeurt dit 3x, de andere dag 5x, dan weer een dag 1x, en een andere dag helemaal niet. Wat er veranderd is dat het nu opeens voorkomt en voorheen niet? Ik heb een nieuwe snellere laptop gekregen met een eenvoudige standaard installatie waarop ik wat developer-tools heb geinstalleerd, maar geen andere dan die ik op de vorige laptop gebruikte...

Het enige wat ik weet is dat ik telkens een aantal applicaties gebruik wanneer het gebeurt, ik ben het deels aan het isoleren, maar het werkt nog niet echt goed; lees: het lukt mij nog niet goed om het probleem te achterhalen (al heb ik ondertussen wel een vermoeden...)

Een aantal situaties hebben zich voorgedaan, waarbij de volgende van vanmorgen de meest minimale situatie is: MS Outlook 2003, Messenger 8.5, Firefox met Google.nl open en SQL Server Management Studio Express....

In eerste instantie verdacht ik WLM 8.5 omdat daar ook "Aanmeldhulp" bij wordt geinstalleerd, en nergens duidelijk wordt omschreven wat dat is. Gevolg -> WLM uninstallen en terug naar 8.1 (hier heb ik voorheen ruim 2 maanden zonder problemen mee gewerkt, dus ik vond deze 'veilig')... maar ook dat bleek uiteraard het probleem niet te zijn. MS Outlook is een standaard bedrijfsinstallatie, dus ook die verwacht ik niet als problematiek, Firefox met google stuurt geen accountgegevens door, dus blijft alleen SQL Management Studio over

Om te achterhalen wat het probleem is heb ik WireShark erop gezet, alleen is deze zó uitgebreid dat ik door de bomen het bos niet meer zie! Ik heb wel al een filter erop staan dat hij alleen moet laten zien wat van mijn IP afkomstig is, dit beperkt het enigszins, maar nog steeds zie ik teveel data waar ik geen raad mee weet. Op het moment dat mijn account wederom geblockt werd dacht ik uit de laatste opgevangen packets wel iets op te vangen waardoor ik kon een bron van problemen kon herleiden. Alleen ik zie niet welke packets nu de schuldige packets zijn, en waar ze vandaan komen.

Nu heb ik als vermoeden SQL Server Management Studio Express, omdat ik SQLSMSE (en ook Visual Studio 2005, maar die draaide vanmorgen niet, dus die negeer ik) draai onder een ander account middels RunAs.
Deze moet namelijk met een apart account worden gestart omdat ik een trusted verbinding naar de SQL database nodig heb en met mijn standaard account niet verkrijg. In SQLSMSE staan wel 2 accounts ... 1x die van mijn windows login (welke ook geblockt wordt), en 1x die van het RunAs account
Kan het zijn dat SQLSMSE de gegevens van mijn netwerkaccount doorstuurt ipv die van het aparte domein (dus die van de RunAs user waaronder het process draait?), waardoor de foute wachtwoorden worden meegegeven, en waardoor ik dus word geblockt?

Of weet iemand een goede manier om te kijken wáár de boosdoener kan zitten? In ieder geval een concretere methode dan wat ik nu doe?

Het runas commando is als volgt [runas.exe /netonly /user:domein\user "C:\Program Files\Microsoft SQL Server\90\Tools\Binn\VSShell\Common7\IDE\ssmsee.exe"] Hier zie ik ook niets 'raars' in. Zonder de parameter /netonly krijg ik geen trusted connection, dus die kan ook niet zo 1,2,3 weg.

Ik zit nu echt met de handen in het haar, en weet op het moment niet wáár ik het kan zoeken. De helpdesk van het bedrijf waar ik werk kan m ook niet verder helpen dan telkens alleen maar het account te unlocken. En zeggen dat de bron van de oorzaak mijn eigen laptop is. Ik vermoedde eerst iemand op het domein met een typfout in zijn accountdata, zodoende konden ze me vertellen dat het van mijn laptop afkomstig was. Op google weet ik niets relevants uit te halen, en de helpdesk weet dus ook geen richtingen meer waarin ik kan denken.

Als iemand iets weet hoor ik het écht graag van die persoon!

Boeboe schreef op vrijdag 18 januari 2008 @ 17:26:
De account waarmee je inlogt op de laptop is ook je domeinaccount neem ik aan. Of log je aan met een andere account? (hoewel het feit dat je "runas" gebruikt die vraag al beantwoordt)

Indien het je domeinaccount is: gebruikt deze in roaming mode (offline) nog altijd hetzelfde wachtwoord of heb je dit wachtwoord moeten veranderen zonder dat je terug op het domein hebt kunnen aanmelden?.
Applicaties zoals Outlook proberen eerst standaard met je windows account in te loggen en wanneer deze gecachte account nog oude wachtwoordgegevens bevat kan die inderdaad je domeinaccount blokkeren omdat die automatisch verkeerde data doorstuurt.

Aangezien je blijkbaar wel weet wat je doet kan heel het verhaal hierboven mogelijk niet van toepassing zijn, maar ik wil toch even zeker weten

Het account op de laptop is idd mijn domeinaccount. Heb om die reden ook een extra lokaal account aangemaakt voor als ik eens buiten het domein zit en die account blijkt gelocked te zijn, of er is iets anders mis met mijn account. Als ik offline ben kan ik gewoon nog inloggen op de laptop, dus dat is in roaming gewoon gelijk. Heb overigens nooit in roaming mode geprobeerd mijn wachtwoord te wijzigen, maar ergens verwacht ik dat dat geen problemen zal uitmaken.
Heb overigens wel net mijn wachtwoord veranderd van mijn domeinaccount waar ik in windows mee inlog, en dat gelijkgesteld aan het wachtwoord van het domeinaccount voor het runas commando (alleen het domein is anders, username is verder identiek, niet dat het invloed mag hebben, maar alle kleine beetjes helpen he...? Er wordt immers een Kerberos account uitgewisseld als ipv gebruikersnaam en wachtwoord neem ik aan....).

In Control Userpasswords2 staan overigens idd andere users (waaronder ook mijn extra lokale account) en die kan ik idd beter laten staan.

Ik ben ook nog ff aan het denken, een Firewall blockt alle verkeer naar binnen en naar buiten. Is er ook een firewall die een goede logging functie heeft? Miss dat een firewall de specifieke applicatie kan pinpointen (die kijkt immers op applicatie niveau ipv packet niveau) en kan vermelden welke applicatie als laatste verbinding met internet/netwerk heeft gehad (die is dan ook de boosdoener in mijn ogen...), en dat ik elke applicatie stap voor stap toegang tot het netwerk geef danwel internet, en bekijk wanneer het fout gaat...? De grote vraag is dán alleen weer welke firewall is goed genoeg...

royjn schreef op vrijdag 18 januari 2008 @ 22:43:
toevallig geen netwerkmapping naar een netwerkschijf gemaakt met oude login gegevens?
Dat was meestal bij mij he probleem.

Er staan standaard 4 netwerkschijven gemapt, maar deze worden bij elke restart door een script opnieuw gemapped. Waardoor oude inloggegevens nooit een kans krijgen omdat ik bij het inloggen altijd de meest recente gegevens moet gebruiken.

alt-92 schreef op vrijdag 18 januari 2008 @ 23:19:
[...]

Hebben jullie daar meerdere domain controllers?

In principe is het wel mogelijk te achterhalen wanneer er met de verkeerde credentials wordt geautenticeerd, maar dan zouden ze de Security eventlogs moeten nakijken voor het tijdstip.

Je zou in dat geval eens een test op kunnen zetten waarbij ze de events uitfilteren die van je host afkomen zodat je aan de tijden kan zien wanneer je je SQL manager bijvoorbeeld opstart.

Ik heb ook wel tijd(en) gekregen van de helpdesk, maar ik kan nergens zien welk programma op die tijd inloggegevens heeft verzonden. Ook in mijn eigen security log staat geen data op tijdstip X waarop mijn account is gelocked, het achterhalen is dus een stuk lastiger...
SQL Manager opstarten is het ook niet aangezien die de hele dag open staat om stored procedures te schrijven/wijzigen. Het gebeurt dus niet op het moment van opstarten, maar later in het proces. Volgens mij meestal als ik net een nieuwe procedure toevoeg of een bestaande wijzig (dus de connectie gebruik). Alleen dus weer niet élke keer, het ene moment kan ik zonder problemen 20 procedures wijzigen, en het andere moment gaat het na 1 fout.

Ik zal vandaag eens proberen om alles met VS2005 te doen ipv SQL Manager. Als het zo wél werkt dan kan ik dus óf SQL Manager de schuld geven.... als ik zo weer geblockt word ergens op de dag, dan weet ik in ieder geval zeker dat het niet aan SQL Manager ligt. Mocht ik dan nog steeds geen oplossing vinden, dan zet ik morgen een firewall erop om zo hopelijk iets te identificeren. (En verder vandaag dus weer 'gewoon' MS Outlook en Messenger gebruiken, om zo min mogelijk af te wijken van de situatie van vrijdag)

Jake Bullet schreef op maandag 21 januari 2008 @ 10:54:
Ik gok maar wat, maar heb je toevallig nog gekke tekens in je wachtwoord staan en draai je eventueel batchfiles met je wachtwoord er in? Ik had ooit eens een '&' gebruikt wat de boel omzeep hielp. Na het toevoegen van een paar quotes werkte het wel.

Nope... alles normale karakters .... hoofdletters, kleine letters en cijfers, niets speciaals dus.

Voorlopig gebruik ik geen SQL Management Studio, en tot nu toe blijft mijn account gewoon unlocked! Mijn vermoeden wordt dus steeds meer versterkt! (Outlook, Firefox, MSN en VS2005 draaien nu ook gewoon).... als ik na een paar dagen nog steeds niet gelocked ben, herinstalleer ik SQL Management Studio en probeer ik het weer 1 dag uit. Maar ik blijf het toch uitermate vreemd vinden! Zeker aangezien Management Studio bij collega's wél gewoon draait

ajhaverkamp schreef op maandag 21 januari 2008 @ 13:50:
Het kan natuurlijk ook nog altijd zo zijn dat een andere gebruiker jouw account locked door een paar foute inlogpogingen te doen.......

Heb ik al nagevraagd bij de helpdesk, de laatste paar keren dat m'n account gelocked werd kwam de aanvraag van mijn eigen pc af. (Zowel IP als computernaam waren gelijk, dus spoofing is hoogst onwaarschijnlijk).

Mr.Chinchilla schreef op maandag 21 januari 2008 @ 13:51:
[...]

Nou, de passwords van network shares zouden best wel eens gecached kunnen worden, ondanks dit opnieuw mappen.

Misschien, maar dit blijkt het probleem toch niet te zijn, ik werk nu al 1,5 dag zonder SQL Server Management Studio en ik ben nog 0x gelocked.. denk dus toch dat het probleem bij SQL Management Studio ligt.

Heb gister alle settings van Management Studio verwijderd, en Management Studio zelf verwijderd. Net opnieuw geinstalleerd (omdat het toch een stuk prettiger werkt dan alleen met VS2005)... en dan laat ik me eens verrassen ... ik hou jullie op de hoogte!

Statusupdate: Ik heb nu weer SQL Management Studio gebruikt, en ben ondertussen weer 2x gelocked!
Heb gistermiddag SQL Management Studio SP2 geinstalleerd, dus het is de laatste nieuwe versie...

Naja, ik denk dat de keuze nu makkelijk gemaakt is, en dat is gewoon SQL Management Studio verwijderen en niet meer gebruiken.... Want voorlopig blijf ik het irritant vinden. Op het moment download ik nog even Account Lockout and Management Tools van Microsoft. Hiermee zou het probleem te traceren moeten zijn omdat deze een Logfile genereert. Nog maar eens eventjes hiermee nakijken waar het probleem ligt!

Helaas.... je mag het topic wéér hernoemen. Ik heb de schuldige applicatie gevonden!

En helaas is het een hele waardeloze applicatie! Namelijk de "Runas.exe" applicatie....
middels de management tools heb ik kunnen zien op wat voor een momenten een fout paswoord werd verstuurd. Elke keer als ik middels de RunAs een applicatie onder een andere user draai dan zie ik in de account lockout tools dat op hetzelfde tijdstip een fout password is gebruikt. Als ik dezelfde applicaties zónder RunAs draai (dus onder de lokale user) dan werkt alles gewoon naar behoren en krijg ik géén fout passwoord.

Ik denk, mijn RunAs is wellicht corrupt, kopiëer die van een collega.... No can do.... die heeft op mijn machine hetzelfde probleem als op zijn machine. Dan denk ik, ik ga op zoek naar een alternatief voor RunAs..... op deze site heb ik er een gevonden, maar die kan niet goed overweg met domein accounts.

Weet iemand een oplossing voor mijn RunAs probleem? Of zal ik maar beter een herinstallatie van Windows XP aanvragen om zo sneller van de problemen af te zijn?