Windows-Server-2008

降級域控制器仍在對使用者進行身份驗證

  • April 1, 2014

為什麼降級的域控制器仍在對使用者進行身份驗證?

每當使用者使用域帳戶登錄工作站時,這個降級的 DC 都會對他們進行身份驗證。它的安全日誌顯示他們的登錄、註銷和特殊登錄。我們新的 DC 的安全日誌顯示了一些機器登錄和註銷,但與域使用者無關。

背景

  1. server1 (Windows Server 2008):最近降級的 DC,文件伺服器
  2. server3 (Windows Server 2008 R2):新的 DC
  3. server4 (Windows Server 2008 R2):新的 DC

日誌

安全日誌事件:http: //imgur.com/a/6cklL

來自server1的兩個範例事件:

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
   Security ID:        NULL SID
   Account Name:       -
   Account Domain:     -
   Logon ID:       0x0

Logon Type:         3

New Logon:
   Security ID:        MYDOMAIN\auser
   Account Name:       auser
   Account Domain:     MYDOMAIN
   Logon ID:       0x8b792ce
   Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
   Process ID:     0x0
   Process Name:       -

Network Information:
   Workstation Name:   
   Source Network Address: 192.168.20.143
   Source Port:        52834

Detailed Authentication Information:
   Logon Process:      Kerberos
   Authentication Package: Kerberos
   Transited Services: -
   Package Name (NTLM only):   -
   Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
   Security ID:        NULL SID
   Account Name:       -
   Account Domain:     -
   Logon ID:       0x0

Logon Type:         3

New Logon:
   Security ID:        MYDOMAIN\anotheruser
   Account Name:       anotheruser
   Account Domain:     MYDOMAIN
   Logon ID:       0x8b74ea5
   Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
   Process ID:     0x0
   Process Name:       -

Network Information:
   Workstation Name:   
   Source Network Address: 192.168.20.203
   Source Port:        53027

Detailed Authentication Information:
   Logon Process:      Kerberos
   Authentication Package: Kerberos
   Transited Services: -
   Package Name (NTLM only):   -
   Key Length:     0

來自server3的範例審計策略更改事件(日誌中還有審計策略更改事件,更改標記為“成功添加”):

System audit policy was changed.

Subject:
   Security ID:        SYSTEM
   Account Name:       SERVER3$
   Account Domain:     MYDOMAIN
   Logon ID:       0x3e7

Audit Policy Change:
   Category:       Account Logon
   Subcategory:        Kerberos Authentication Service
   Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
   Changes:        Success removed

嘗試的解決方案

  1. 修復 DNS 條目。 最初在server1降級dcdiag /test:dns後返回錯誤。例如,我們的正向查找區域中有過時的名稱伺服器條目。我最終打開了 DNS 管理器並手動刪除了問題條目,同時確保 LDAP 和 Kerberos 條目指向新伺服器。例如, __ldap.Default-First-Site.__sites.dc._msdcs.mydomain.local 指向server3.mydomain.local
  2. 使用 驗證 DNS 條目nslookup nslookup -type=srv _kerberos._udp.mydomain.local返回server3server4的條目——與**server1無關。
  3. **清理元數據。**使用此 TechNet 文章ntdsutil中所述清理元數據後,該命令僅返回兩個條目,看起來都不錯:

ntdsutil``list servers in site

  1. 0 - CN=SERVER4,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=mydomain,DC=local
  2. 1 - CN=SERVER3,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=mydomain,DC=local
  3. **從 Active Directory 站點和服務中刪除*server1 。*降級server1後,我注意到它仍保留在 Active Directory 站點和服務中,儘管它不再被列為全域目錄。我根據這篇 Microsoft 知識庫文章中的說明刪除了它。
  4. **將操作主機角色轉移到server3。**操作主管角色有點超出我的理解範圍,但我今天早上ntdsutil將它們全部轉移到server3上。沒有錯誤,但重新啟動和測試表明server1仍在進行所有身份驗證。
  5. **重新註冊 DNS 並重新啟動netlogon。**論壇文章建議在新伺服器上執行ipconfig /registerdnsnet stop netlogon && net start netlogon解決相關問題。它似乎沒有幫助。
  6. 確保新域控制器上的獲勝 GPO 啟用對登錄和帳戶登錄事件的審核。

其他線索

  • 這一系列論壇文章中描述了同樣的問題。沒有解決辦法。
  • 在 Experts Exchange 上的這個問題中也對此進行了描述。標記為答案的評論內容為:“如果$$ sic $$不再是 DC,那麼它就無法處理任何身份驗證請求。”這將是我的反應,但dcdiagserver1上執行確認server1不認為自己是 DC。但它仍然是唯一對每個人進行身份驗證的伺服器。

這裡發生了什麼?

它是一個文件伺服器 - 使用者是否連接到它以訪問文件?這可能就是您所看到的。這些將顯示在安全日誌中。

從 server1 發布一些日誌條目(全部 - 文本轉儲或螢幕截圖),顯示您關注的行為。

/Edit - 感謝您的確認。登錄類型 3 是“網路”。在訪問記錄事件的電腦上的共享文件或列印機時最常見。

降級的 DC 絕不會繼續對域登錄進行身份驗證。您看到的是本地登錄事件。當您登錄到具有域憑據的成員伺服器時,您將在本地看到登錄事件,以及 DC 上相應的憑據驗證事件。

當您使用本地憑據登錄成員伺服器時,您仍然會在本地看到登錄事件,但不會在 DC 上看到任何憑據驗證事件。

引用自:https://serverfault.com/questions/585650