Как решить ошибку 18456 SQL Server + 1C?

Question

[Павел]

Здравствуйте.
Имеется проблема со связкой 1C+MSSQL. Пользователь sa постоянно блокируется, помогает смена пароля. Так мне рассказали коллеги. Сегодня зашел в логи SQL и заметил что постоянно (каждые 2-5 секунд по 3-5 раз) кто то стучится с локалхоста под пользователем sa и неверным паролем. ошибка 18456, серьезность 14, состояние 8. Логично было подумать, что проблема блокировки sa кроется именно в этом.
Но честно моих знаний не хватает, что бы найти виновника который постоянно стучится в sql. Подскажите что это может быть, как это возможно решить и связаны ли эти два факта вообще?

Answer 1

[АртемЪ]

постоянно (каждые 2-5 секунд по 3-5 раз) кто то стучится с локалхоста под пользователем sa и неверным паролем

Бэкап или скрипт обслуживания.
Посмотреть задания в планировщике.

Comments

[Павел]

В планировщике заданий лишь батник с таким содержанием:
xcopy "D:\DB\MSSQL12.MSSQLSERVER\MSSQL\Backup\2016" "\\172.***.***.***\2016\" /e /y
В папке указанной выше лежат bak файлы за каждый день. Т.е. обслуживание и бекапы стоит исключить.

[Павел]

Трассировка SQL помогла определить что постоянно стучится 1C server 8.3 с неправильным паролем. Процесс rphost.exe Но при этом пользователи работают в базе и пароль введен верно.

[АртемЪ]

Павел, .

обслуживание и бекапы стоит исключить.

Ну мало ли еще какие скрипты, может обмен какой или еще что-то. Это самое вероятное, больше некому.

Трассировка SQL помогла определить что постоянно стучится 1C server 8.3 с неправильным паролем

Ну это ежу понятно что 1с server. Больше некому.

Answer 2

[Дмитрий Кинаш]

Не думали, что это троян? Еще вариант - локально стоит софт, который неправильно сконфигурирован (при установке тот увидел наличие MsSQL и предложил там хранить логи, но пароль не угадал и теперь все время бомбит).

Если сами не можете "вычислить" виновного просмотром списка запущенных процессов, то воспользуйтесь программой, которая показывает открываемые сокеты - смотрите какой процесс "каждые 2-5 секунд по 3-5 раз" открывает соединение на порт 1433 или 1434.

Comments

[Павел]

Благодарю за ответ. Вычислить через трассировку sql удалось следующее:
"бомбит" постоянно 1C server 8.3 на localhost с неправильным паролем. Процесс rphost.exe Но при этом пользователи работают в базе и пароль введен верно. И "бомбит" он в системную базу master.
Если это будет полезно: sql и 1c крутятся на одной виртуальной машине hyper-V

p.s. На половину вопроса смог найти ответ благодаря подсказкам, интернету и методу научного тыка.
Подскажите, зачем rphost стучит в базу master? и где найти то, что поможет это исправить.

[Дмитрий Кинаш]

Павел, у вас точно всего одна база на сервере 1С?

[Павел]

Дмитрий Кинаш, Нет, их 2. Но обе работают. Поэтому и очень странно почему 1c проситься в базу master постоянно.

[Дмитрий Кинаш]

Павел, посмотрите регламентные задания в обоих ваших базах. Возможно это настройка архивирования или что-то похожее по духу (особенно, если конфигурации не типовые или доработанные).

[Павел]

Дмитрий Кинаш, конфигурация бухгалтерия бюджетного учреждения.
Благодарю за совет, буду искать причину.