背景

tag-icon tag-icon windows-server-2008 active-directory windows-server-2008-r2 domain-controller kerberos
背景

为什么降级的域控制器仍在对用户进行身份验证?

每当用户使用域帐户登录工作站时,此降级的 DC 都会对其进行身份验证。其安全日志会显示他们的登录、注销和特殊登录。我们新的 DC 的安全日志会显示一些机器登录和注销,但与域用户无关。

背景

  1. 服务器1(Windows Server 2008):最近降级的 DC,文件服务器
  2. 服务器3(Windows Server 2008 R2):新 DC
  3. 服务器4(Windows Server 2008 R2):新 DC

日志

安全日志事件:http://imgur.com/a/6cklL

两个示例事件服务器1

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

样本审计政策变更事件来自服务器3(还有审计政策变更日志中标记为“成功添加”的事件:

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

尝试的解决方案

  1. 修复 DNS 条目。 dcdiag /test:dns最初返回错误之后服务器1被降级。例如,我们的正向查找区域中存在过时的名称服务器条目。我最终打开 DNS 管理器并手动删除问题条目,同时确保 LDAP 和 Kerberos 条目指向新服务器。例如,__ldap.Default-First-Site.__sites.dc.__msdcs.mydomain.local_ 指向服务器3.我的域名.本地
  2. 使用 验证 DNS 条目nslookup nslookup -type=srv _kerberos._udp.mydomain.local返回条目服务器3服务器4—没有关于服务器1
  3. 清理元数据。按照说明使用后ntdsutil清理元数据在这篇 TechNet 文章中,该ntdsutil命令list servers in site仅返回两个条目,且看起来均正常:
    1. 0 - CN=SERVER4、CN=服务器、CN=默认第一个站点、CN=站点、CN=配置、DC=mydomain、DC=本地
    2. 1 - CN=SERVER3、CN=服务器、CN=默认第一个站点、CN=站点、CN=配置、DC=mydomain、DC=本地
  4. 删除服务器1来自 Active Directory 站点和服务。降级后服务器1,我注意到它仍保留在 Active Directory 站点和服务中,尽管它不再被列为全局目录。我根据此 Microsoft 知识库文章
  5. 将操作主角色转移至服务器3操作大师的角色有点超出我的理解范围,但我过去常常把ntdsutil它们全部转移到服务器3今天早上。没有错误,但重启和测试表明服务器1仍在进行所有的身份验证。
  6. 重新注册 DNS 并重新启动网络登录论坛帖子建议在新服务器上运行ipconfig /registerdnsnet stop netlogon && net start netlogon解决相关问题。但这似乎没有帮助。
  7. 确保新域控制器上的获胜 GPO 能够审核登录和帐户登录事件。

其他线索

  • 同样的问题也出现在这一系列论坛帖子. 没有解决方案。
  • 它还被描述在Experts Exchange 上的这个问题标记为答案的评论写道:“如果它不再是 DC,那么它就无法处理任何身份验证请求。” 这将是我的反应,dcdiag服务器1证实服务器1不认为自己是 DC。但它仍然是唯一对所有人进行身份验证的服务器。

这里发生了什么?

答案1

它是一个文件服务器 - 用户是否连接到它来访问文件?您可能看到这种情况。这些将显示在安全日志中。

从 server1 发布一些显示您所关心的行为的日志条目(完整的文本转储或屏幕截图)。

/编辑 - 感谢您的确认。登录类型 3 是“网络”。最常出现在访问记录事件的计算机上的共享文件或打印机时。

答案2

降级的 DC 将无法继续验证域登录。您看到的是当地的登录事件。当您使用域凭据登录到成员服务器时,您将在本地看到登录事件,以及 DC 上相应的凭据验证事件。

当您使用本地凭据登录到成员服务器时,您仍然可以在本地看到登录事件,但不会在 DC 上看到任何凭据验证事件。

相关内容