需要一些身份验证方面的帮助。在我们的日志中注意到,用户 1 有大量 Kerberos 预身份验证失败。用户 1 的密码错误。然而,当我更仔细地查看日志时,我对这些事件有点困惑。
User1 正在针对 DC2 进行身份验证。我看到 DC2 针对 DC1 为 User1 进行了第二次身份验证尝试。DC1 和 DC2 属于 Kerb Realm。为什么身份验证从 DC2 转到 DC1?为什么身份验证没有在 DC2 上进行?
答案1
假设 DC1 是拥有 PDCemulator FSMO 角色的域控制器。因此,每次尝试输入错误密码时,身份验证域控制器都会在登录失败之前与 PDCe 进行检查。
之所以如此,是因为当用户更改密码时,会触发特殊复制。处理密码更改的 DC 会通知 PDCe 密码已在正常通知/复制周期之外更改。然后,DC 会按照正常复制周期继续将密码复制到其所有合作伙伴。
因此,由于 PDCe 几乎总是会(几乎立即)收到密码更改通知,因此,如果用户提交了错误的密码,则域控制器几乎总是会向 PDCe 检查 DC 是否具有过期的密码哈希值。