確定在 MS AD 林/域中使用 UPN 進行登錄
也許有人可以給我一個提示。
我正在評估將大型 Microsoft AD 環境中的所有(人類)使用者的 UPN 更改為推薦的 MS 格式的先決條件(與使用者的主要公共郵件地址對齊,包括作為 UPN 後綴的使用者的公共可路由郵件域)。
現在,更改 UPN 可能會在使用 UPN 時中斷應用程序或服務或中斷使用者登錄過程。
我知道 UPN 在今天的大多數環境中並未廣泛用於登錄,但我仍想詳細說明是否有一種方法可以診斷 UPN 在登錄過程中的使用情況。
我們談論的是遠高於 2003 年但具有活動 NTLM 的功能水平。相關域控制器正在執行 2012 和 2012R2。在這種情況下,該方案僅限於具有 3 個域的單個林。儘管這是環境的一小部分,但它是唯一與 UPN 更改相關的部分。
首先也是最簡單的方法是檢查域控制器上的事件日誌以獲取登錄事件。問題是:據我所見,這些總是以“域\使用者名”的“舊”格式登錄,無論使用哪種使用者 ID 表示登錄。如果我錯了,請糾正我,因為這真的會大大加快速度。
接下來我想到的是來回 Kerberos 票證的網路痕跡。如果我沒記錯 Kerberos,這些最初是使用使用者密碼加密的,為了檢查它們,我需要使用來自(可能)未知客戶端的數據解密票證。
現在這是我不確定並希望是錯誤的地方,因為在某些時候 DC 需要確定他們使用哪個密碼雜湊來解密消息。我承認我還沒有對此進行大量測試,因為我剛剛不想修改 DC。
也許有一種我還沒有想到的不同方法來解決這個問題——無論如何,我希望有人能給我一個關於解決這個問題的可能方法的提示。我討厭“應用更改並躲避”,如果可能的話,我寧願第一次就做好。
好的,我現在可以在測試實驗室之後自己回答這個問題。來自被登錄到域控制器的系統對 TGT 的初始請求包含網路數據包的 kerberos 有效負載中的明文使用者名(這是眾所周知的)。
但:
使用domainname\username 登錄時,這將是username。
使用UPN登錄時,這將是使用者的完整 UPN
您要查找的數據包是 TCP,KRB5 有效負載,消息類型 krb-as-req (10) 使用者名在“cname”部分下,名稱類型為“KRB5-NT-ENTERPRISE-PRINCIPAL”
因此,要了解您的網路中是否使用了 UPN,請跟踪所有這些進入您的 DC 的數據包,一段時間後將跟踪記錄保存到磁碟並過濾“@”符號。