Windows-Server-2008
降級域控制器仍在對使用者進行身份驗證
為什麼降級的域控制器仍在對使用者進行身份驗證?
每當使用者使用域帳戶登錄工作站時,這個降級的 DC 都會對他們進行身份驗證。它的安全日誌顯示他們的登錄、註銷和特殊登錄。我們新的 DC 的安全日誌顯示了一些機器登錄和註銷,但與域使用者無關。
背景
- server1 (Windows Server 2008):最近降級的 DC,文件伺服器
- server3 (Windows Server 2008 R2):新的 DC
- server4 (Windows Server 2008 R2):新的 DC
日誌
安全日誌事件:http: //imgur.com/a/6cklL。
來自server1的兩個範例事件:
Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: MYDOMAIN\auser Account Name: auser Account Domain: MYDOMAIN Logon ID: 0x8b792ce Logon GUID: {54063226-E9B7-D357-AD58-546793C9CA59} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: Source Network Address: 192.168.20.143 Source Port: 52834 Detailed Authentication Information: Logon Process: Kerberos Authentication Package: Kerberos Transited Services: - Package Name (NTLM only): - Key Length: 0 [ ... ] Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: MYDOMAIN\anotheruser Account Name: anotheruser Account Domain: MYDOMAIN Logon ID: 0x8b74ea5 Logon GUID: {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: Source Network Address: 192.168.20.203 Source Port: 53027 Detailed Authentication Information: Logon Process: Kerberos Authentication Package: Kerberos Transited Services: - Package Name (NTLM only): - Key Length: 0
來自server3的範例審計策略更改事件(日誌中還有審計策略更改事件,更改標記為“成功添加”):
System audit policy was changed. Subject: Security ID: SYSTEM Account Name: SERVER3$ Account Domain: MYDOMAIN Logon ID: 0x3e7 Audit Policy Change: Category: Account Logon Subcategory: Kerberos Authentication Service Subcategory GUID: {0cce9242-69ae-11d9-bed3-505054503030} Changes: Success removed
嘗試的解決方案
- 修復 DNS 條目。 最初在server1降級
dcdiag /test:dns
後返回錯誤。例如,我們的正向查找區域中有過時的名稱伺服器條目。我最終打開了 DNS 管理器並手動刪除了問題條目,同時確保 LDAP 和 Kerberos 條目指向新伺服器。例如, __ldap.Default-First-Site.__sites.dc._msdcs.mydomain.local 指向server3.mydomain.local。- 使用 驗證 DNS 條目
nslookup
。nslookup -type=srv _kerberos._udp.mydomain.local
返回server3和server4的條目——與**server1無關。- **清理元數據。**使用此 TechNet 文章
ntdsutil
中所述清理元數據後,該命令僅返回兩個條目,看起來都不錯:
ntdsutil``list servers in site
- 0 - CN=SERVER4,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=mydomain,DC=local
- 1 - CN=SERVER3,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=mydomain,DC=local
- **從 Active Directory 站點和服務中刪除*server1 。*降級server1後,我注意到它仍保留在 Active Directory 站點和服務中,儘管它不再被列為全域目錄。我根據這篇 Microsoft 知識庫文章中的說明刪除了它。
- **將操作主機角色轉移到server3。**操作主管角色有點超出我的理解範圍,但我今天早上
ntdsutil
將它們全部轉移到server3上。沒有錯誤,但重新啟動和測試表明server1仍在進行所有身份驗證。- **重新註冊 DNS 並重新啟動netlogon。**論壇文章建議在新伺服器上執行
ipconfig /registerdns
並net stop netlogon && net start netlogon
解決相關問題。它似乎沒有幫助。- 確保新域控制器上的獲勝 GPO 啟用對登錄和帳戶登錄事件的審核。
其他線索
- 這一系列論壇文章中描述了同樣的問題。沒有解決辦法。
- 在 Experts Exchange 上的這個問題中也對此進行了描述。標記為答案的評論內容為:“如果$$ sic $$不再是 DC,那麼它就無法處理任何身份驗證請求。”這將是我的反應,但
dcdiag
在server1上執行確認server1不認為自己是 DC。但它仍然是唯一對每個人進行身份驗證的伺服器。這裡發生了什麼?
它是一個文件伺服器 - 使用者是否連接到它以訪問文件?這可能就是您所看到的。這些將顯示在安全日誌中。
從 server1 發布一些日誌條目(全部 - 文本轉儲或螢幕截圖),顯示您關注的行為。
/Edit - 感謝您的確認。登錄類型 3 是“網路”。在訪問記錄事件的電腦上的共享文件或列印機時最常見。
降級的 DC 絕不會繼續對域登錄進行身份驗證。您看到的是本地登錄事件。當您登錄到具有域憑據的成員伺服器時,您將在本地看到登錄事件,以及 DC 上相應的憑據驗證事件。
當您使用本地憑據登錄成員伺服器時,您仍然會在本地看到登錄事件,但不會在 DC 上看到任何憑據驗證事件。