我有一个 2008 级 Windows 域,其中运行着 5 x 2008(非 R2)DC(计划在未来 9-12 个月内迁移到 R2 或可能是 2012,但这个项目需要先运行起来),我需要在安全事件日志中为 AD 集成的 Web 过滤系统启用 Kerberos 身份验证服务事件。
显然,“Kerberos 身份验证服务”审计设置是 2008 R2 中的新设置,并且不存在于 2008 GPO 界面中。
这篇 TechNet 文章似乎表明我应该能够从 2008 R2 成员服务器启用“默认域控制器策略”上的设置,并且它将适用于 2008 服务器:
如果配置了此策略设置,则会生成以下事件。这些事件出现在运行 Windows Server 2008 R2 的计算机上,Windows 服务器 2008、Windows 7 或 Windows Vista。
事件 ID 事件消息
4768 已请求 Kerberos 身份验证票证 (TGT)。
4771 Kerberos 预身份验证失败。
4772 Kerberos 身份验证票证请求失败。
但是,我已经尝试过这个,我的 5 个 DC 中有 4 个可以正常应用该设置,但是其中一个没有在安全日志中记录审计事件。
在 2008(非 R2)服务器上有没有更好的方法可以做到这一点?在这个奇怪的 DC 上,是否有任何明显的功能可能被启用(或禁用),导致它不接受 R2 设置?还有其他需要检查的事情吗?
我在有问题的 DC 的事件日志中没有看到任何异常。任何想法或帮助都值得感激。提前感谢大家提供的任何帮助。
编辑:以下是链接我之前的一个问题我在那里询问如何在 Server 2008 上启用此设置。这个问题已经过时了,所以我在这里询问它的下一个逻辑扩展。
答案1
我仍然无法排除为什么这些策略更改未在 5 个 DC 中的 1 个上进行,但我能够通过auditpol在其上运行以下命令来解决此问题:
auditpol /set /category:"account logon" /subcategory:"kerberos Authentication Service" /success:enable
刷新 GP 并重新启动 DC 后,设置仍然卡住,所以我猜它没有在任何地方被覆盖,所以我认为这很好。
感谢阅读此文的每个人,也许它能够帮助到处于类似境况的其他人。