LastLogonDate 与任何 DC 上的 LastLogonTimestamp 都不对应

LastLogonDate 与任何 DC 上的 LastLogonTimestamp 都不对应

我正在尝试找出最近“用户名”登录的来源。用户的“LastLogonTimestamp”AD 属性等于“131181645775731489”。ADUC 控制台将其显示为 2016 年 9 月 12 日下午 4:36:17 夏令时。有趣的是,如果我在域中的每个 DC 上获取 LastLogonDate 和 LastLogon 用户属性,我看不到 2016 年 9 月 12 日的任何地方。查看输出。

Server  LastLogonDate     LastLogonTimestamp             LastLogon
DC03    02/18/16            [09/12/16]                  02/18/16
DC04    01/01/01            [09/12/16]                  01/01/01
DC05    01/01/01            [09/12/16]                  01/01/01
DC14    01/01/01            [09/12/16]                  01/01/01

最近没有 DC 降级。我还分析了自 2016 年 9 月 12 日起所有域控制器上的安全日志,没有发现“用户名”登录的痕迹。已启用审核,我可以看到其他用户的登录事件。“用户名”是服务帐户。有什么想法可以找到它的使用位置吗?
更新
所有域控制器均为 Windows Server 2012 R2。域功能级别也是 Windows Server 2012 R2。

答案1

您的域控制器的操作系统版本是什么?域的域功能级别是什么?

交互式 GUI 登录应更新两个登录时间字段,但如果服务帐户仅进行 LDAP 查询,则这些字段将更新lastLogonTimestamp但不会更新lastLogon。请参阅https://support.microsoft.com/en-us/kb/939899

文章称,可以通过将 DFL 提升到 2003 模式来纠正这个问题。

答案2

我找到了登录的来源。它似乎是一个 Nagios 监控用户,连接到 SQL 服务器执行检查。在这种情况下,它会在 SQL 服务器上留下一个事件(见下文),但不会在 DC 上留下。所以对我有帮助的是解析域成员服务器上的日志。

Log Name:      Application
Source:        MSSQL$INSTANCE
Date:          10/4/2016 10:10:06 PM
Event ID:      18453
Task Category: Logon
Level:         Information
Keywords:      Classic,Audit Success
User:          DOMAIN\username
Computer:      SQLSERVER.DOMAIN.COM
Description: Login succeeded for user 'DOMAIN\username'. Connection made using Windows authentication. [CLIENT: 10.0.0.4]

相关内容