為什麼降級的域控制器仍在對使用者進行身份驗證？

每當使用者使用域帳戶登錄工作站時，這個降級的 DC 都會對他們進行身份驗證。它的安全日誌顯示他們的登錄、註銷和特殊登錄。我們新的 DC 的安全日誌顯示了一些機器登錄和註銷，但與域使用者無關。

背景

1. server1 (Windows Server 2008)：最近降級的 DC，文件伺服器
2. server3 (Windows Server 2008 R2)：新的 DC
3. server4 (Windows Server 2008 R2)：新的 DC

日誌

安全日誌事件：http: //imgur.com/a/6cklL。

來自server1的兩個範例事件：

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
   Security ID:        NULL SID
   Account Name:       -
   Account Domain:     -
   Logon ID:       0x0

Logon Type:         3

New Logon:
   Security ID:        MYDOMAIN\auser
   Account Name:       auser
   Account Domain:     MYDOMAIN
   Logon ID:       0x8b792ce
   Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
   Process ID:     0x0
   Process Name:       -

Network Information:
   Workstation Name:   
   Source Network Address: 192.168.20.143
   Source Port:        52834

Detailed Authentication Information:
   Logon Process:      Kerberos
   Authentication Package: Kerberos
   Transited Services: -
   Package Name (NTLM only):   -
   Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
   Security ID:        NULL SID
   Account Name:       -
   Account Domain:     -
   Logon ID:       0x0

Logon Type:         3

New Logon:
   Security ID:        MYDOMAIN\anotheruser
   Account Name:       anotheruser
   Account Domain:     MYDOMAIN
   Logon ID:       0x8b74ea5
   Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
   Process ID:     0x0
   Process Name:       -

Network Information:
   Workstation Name:   
   Source Network Address: 192.168.20.203
   Source Port:        53027

Detailed Authentication Information:
   Logon Process:      Kerberos
   Authentication Package: Kerberos
   Transited Services: -
   Package Name (NTLM only):   -
   Key Length:     0

來自server3的範例審計策略更改事件（日誌中還有審計策略更改事件，更改標記為“成功添加”）：

System audit policy was changed.

Subject:
   Security ID:        SYSTEM
   Account Name:       SERVER3$
   Account Domain:     MYDOMAIN
   Logon ID:       0x3e7

Audit Policy Change:
   Category:       Account Logon
   Subcategory:        Kerberos Authentication Service
   Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
   Changes:        Success removed

嘗試的解決方案

1. 修復 DNS 條目。 最初在server1降級dcdiag /test:dns後返回錯誤。例如，我們的正向查找區域中有過時的名稱伺服器條目。我最終打開了 DNS 管理器並手動刪除了問題條目，同時確保 LDAP 和 Kerberos 條目指向新伺服器。例如， __ldap.Default-First-Site.__sites.dc._msdcs.mydomain.local 指向server3.mydomain.local。
2. 使用 驗證 DNS 條目nslookup。 nslookup -type=srv _kerberos._udp.mydomain.local返回server3和server4的條目——與**server1無關。
3. **清理元數據。**使用此 TechNet 文章ntdsutil中所述清理元數據後，該命令僅返回兩個條目，看起來都不錯：

ntdsutil``list servers in site

1. 0 - CN=SERVER4,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=mydomain,DC=local
2. 1 - CN=SERVER3,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=mydomain,DC=local
3. **從 Active Directory 站點和服務中刪除*server1 。*降級server1後，我注意到它仍保留在 Active Directory 站點和服務中，儘管它不再被列為全域目錄。我根據這篇 Microsoft 知識庫文章中的說明刪除了它。
4. **將操作主機角色轉移到server3。**操作主管角色有點超出我的理解範圍，但我今天早上ntdsutil將它們全部轉移到server3上。沒有錯誤，但重新啟動和測試表明server1仍在進行所有身份驗證。
5. **重新註冊 DNS 並重新啟動netlogon。**論壇文章建議在新伺服器上執行ipconfig /registerdns並net stop netlogon && net start netlogon解決相關問題。它似乎沒有幫助。
6. 確保新域控制器上的獲勝 GPO 啟用對登錄和帳戶登錄事件的審核。

其他線索

• 這一系列論壇文章中描述了同樣的問題。沒有解決辦法。
• 在 Experts Exchange 上的這個問題中也對此進行了描述。標記為答案的評論內容為：“如果$$ sic $$不再是 DC，那麼它就無法處理任何身份驗證請求。”這將是我的反應，但dcdiag在server1上執行確認server1不認為自己是 DC。但它仍然是唯一對每個人進行身份驗證的伺服器。

這裡發生了什麼？

它是一個文件伺服器 - 使用者是否連接到它以訪問文件？這可能就是您所看到的。這些將顯示在安全日誌中。

從 server1 發布一些日誌條目（全部 - 文本轉儲或螢幕截圖），顯示您關注的行為。

/Edit - 感謝您的確認。登錄類型 3 是“網路”。在訪問記錄事件的電腦上的共享文件或列印機時最常見。

降級的 DC 絕不會繼續對域登錄進行身份驗證。您看到的是本地登錄事件。當您登錄到具有域憑據的成員伺服器時，您將在本地看到登錄事件，以及 DC 上相應的憑據驗證事件。

當您使用本地憑據登錄成員伺服器時，您仍然會在本地看到登錄事件，但不會在 DC 上看到任何憑據驗證事件。

引用自：https://serverfault.com/questions/585650