เหตุใดตัวควบคุมโดเมนที่ลดระดับยังคงตรวจสอบผู้ใช้อยู่

เมื่อใดก็ตามที่ผู้ใช้เข้าสู่เวิร์กสเตชันด้วยบัญชีโดเมน DC ที่ลดระดับนี้จะตรวจสอบสิทธิ์พวกเขา บันทึกความปลอดภัยแสดงการเข้าสู่ระบบการออกจากระบบและการเข้าสู่ระบบพิเศษ บันทึกความปลอดภัยของ DCs ใหม่ของเราแสดงการเข้าสู่ระบบของเครื่องและการออกจากระบบ แต่ไม่มีอะไรเกี่ยวข้องกับผู้ใช้โดเมน

พื้นหลัง

1. server1 (Windows Server 2008): เพิ่งลดระดับ DC, ไฟล์เซิร์ฟเวอร์
2. server3 (Windows Server 2008 R2): DC ใหม่
3. server4 (Windows Server 2008 R2): DC ใหม่

ท่อน

การรักษาความปลอดภัยเข้าสู่ระบบกิจกรรม: http://imgur.com/a/6cklL

สองตัวอย่างเหตุการณ์จากเซิร์ฟเวอร์ 1 :

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

ตัวอย่างเหตุการณ์การเปลี่ยนแปลงนโยบายการตรวจสอบจากเซิร์ฟเวอร์ 3 (นอกจากนี้ยังมีเหตุการณ์การเปลี่ยนแปลงนโยบายการตรวจสอบในบันทึกที่มีการเปลี่ยนแปลงที่ระบุว่า "สำเร็จแล้ว"):

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

วิธีแก้ไขปัญหา

1. แก้ไขรายการ DNS dcdiag /test:dnsข้อผิดพลาดที่ส่งกลับครั้งแรกหลังจากที่เซิร์ฟเวอร์ 1ถูกลดระดับ มีรายการเซิร์ฟเวอร์ชื่อที่ล้าสมัยในโซนการค้นหาแบบส่งต่อของเรา ฉันลงเอยด้วยการเปิดตัวจัดการ DNS และลบรายการปัญหาด้วยตนเองรวมทั้งตรวจสอบให้แน่ใจว่ารายการ LDAP และ Kerberos ชี้ไปที่เซิร์ฟเวอร์ใหม่ ยกตัวอย่างเช่น __ldap.Default แรก-Site .__ sites.dc .__ msdcs.mydomain.local_ คะแนนเพื่อserver3.mydomain.local
2. การตรวจสอบรายการ DNS nslookupกับ nslookup -type=srv _kerberos._udp.mydomain.localส่งกลับรายการสำหรับServer3และserver4ไม่มีอะไรเกี่ยวกับserver1
3. กำลังล้างข้อมูลเมตา หลังจากที่ใช้ntdsutilในการทำความสะอาดข้อมูลเมตาตามที่อธิบายไว้ในบทความนี้ TechNetที่ntdsutilคำสั่งlist servers in siteผลตอบแทนเพียงสองรายการซึ่งทั้งสองรูปลักษณ์ตกลง:
   1. 0 - CN = SERVER4, CN = เซิร์ฟเวอร์, CN = เริ่มต้น - ไซต์แรก, CN = ไซต์, CN = การกำหนดค่า, DC = mydomain, DC = local
   2. 1 - CN = SERVER3, CN = เซิร์ฟเวอร์, CN = เริ่มต้น - ไซต์แรก, CN = ไซต์, CN = การกำหนดค่า, DC = mydomain, DC = local
4. การลบserver1ออกจาก Active Directory Sites and Services หลังจากลดระดับเซิร์ฟเวอร์ 1 ฉันสังเกตเห็นว่ายังคงอยู่ในไซต์และบริการไดเรกทอรีที่ใช้งานอยู่แม้ว่าจะไม่ได้อยู่ในรายการเป็นแคตตาล็อกส่วนกลางอีกต่อไป ฉันลบมันไปตามคำแนะนำในบทความนี้ Microsoft KB
5. การถ่ายโอนบทบาทหลักของการดำเนินการไปยังเซิร์ฟเวอร์ 3 บทบาทของหัวหน้าฝ่ายปฏิบัติการนั้นค่อนข้างไกลจากเคนของฉัน แต่ฉันเคยntdsutilถ่ายโอนมันทั้งหมดไปยังเซิร์ฟเวอร์ 3เช้านี้ ไม่มีข้อผิดพลาด แต่ให้เริ่มระบบใหม่และทดสอบแสดงว่าเซิร์ฟเวอร์ 1ยังคงทำการตรวจสอบสิทธิ์ทั้งหมด
6. ลงทะเบียนใหม่กับ DNS และการเริ่มต้นใหม่netlogon โพสต์ฟอรัมแนะนำให้เรียกใช้ipconfig /registerdnsและnet stop netlogon && net start netlogonบนเซิร์ฟเวอร์ใหม่เพื่อแก้ไขปัญหาที่เกี่ยวข้อง ดูเหมือนจะไม่ช่วย
7. ตรวจสอบให้แน่ใจว่า GPO ที่ชนะในตัวควบคุมโดเมนใหม่เปิดใช้งานการตรวจสอบสำหรับการเข้าสู่ระบบและเหตุการณ์การเข้าสู่ระบบบัญชี

ลูกค้ารายอื่น

• ปัญหาเดียวกันนี้ได้อธิบายไว้ในกระทู้ของฟอรัมนี้ ไม่มีความละเอียด
• นอกจากนี้ยังอธิบายไว้ในคำถามนี้ในผู้เชี่ยวชาญด้านการแลกเปลี่ยน ความคิดเห็นที่ทำเครื่องหมายเป็นคำตอบอ่านว่า "ถ้า [sic] ไม่ใช่ DC อีกต่อไปแสดงว่าไม่มีทางที่จะสามารถดำเนินการตามคำขอการรับรองความถูกต้องใด ๆ " นั่นจะเป็นปฏิกิริยาของฉัน แต่การเรียกใช้dcdiagบนserver1ยืนยันว่าserver1ไม่ได้พิจารณาตัวเองว่าเป็น DC แต่มันก็ยังคงเป็นเซิร์ฟเวอร์เดียวที่รับรองความถูกต้องของทุกคน

เกิดอะไรขึ้นที่นี่?

มันเป็นไฟล์เซิร์ฟเวอร์ - ผู้ใช้เชื่อมต่อเพื่อเข้าถึงไฟล์หรือไม่ นั่นเป็นสิ่งที่คุณเห็น สิ่งเหล่านั้นจะปรากฏในบันทึกความปลอดภัย

โพสต์รายการบันทึกบางรายการ (ทั้งข้อความหรือภาพหน้าจอ) จากเซิร์ฟเวอร์ 1 ที่แสดงพฤติกรรมที่คุณกังวล

/ แก้ไข - ขอบคุณสำหรับการยืนยัน การเข้าสู่ระบบประเภท 3 คือ "เครือข่าย" ส่วนใหญ่มักจะเห็นเมื่อเข้าถึงไฟล์หรือเครื่องพิมพ์ที่ใช้ร่วมกันบนคอมพิวเตอร์ที่บันทึกเหตุการณ์

DC ที่ลดระดับจะไม่ดำเนินการตรวจสอบสิทธิ์การเข้าสู่ระบบโดเมนต่อไป สิ่งที่คุณเห็นคือกิจกรรมการเข้าสู่ระบบในท้องถิ่น เมื่อคุณเข้าสู่เซิร์ฟเวอร์สมาชิกด้วยข้อมูลประจำตัวของโดเมนคุณจะเห็นเหตุการณ์การเข้าสู่ระบบในพื้นที่รวมทั้งเหตุการณ์การตรวจสอบความถูกต้องของข้อมูลรับรองที่สอดคล้องกันใน DC

เมื่อคุณเข้าสู่เซิร์ฟเวอร์สมาชิกด้วยข้อมูลประจำตัวท้องถิ่นคุณยังคงเห็นเหตุการณ์การเข้าสู่ระบบในเครื่อง แต่จะไม่เห็นเหตุการณ์การตรวจสอบความถูกต้องของข้อมูลรับรองใน DC