Bộ điều khiển miền bị hạ cấp vẫn xác thực người dùng

Tại sao bộ điều khiển miền bị hạ cấp vẫn xác thực người dùng?

Bất cứ khi nào người dùng đăng nhập vào máy trạm bằng tài khoản miền, DC bị hạ cấp này sẽ xác thực chúng. Nhật ký bảo mật của nó hiển thị thông tin đăng nhập, đăng xuất và đăng nhập đặc biệt của họ. Nhật ký bảo mật của các DC mới của chúng tôi hiển thị một số thông tin đăng nhập và đăng xuất của máy, nhưng không liên quan gì đến người dùng tên miền.

Lý lịch

server1 (Windows Server 2008): Gần đây đã hạ cấp DC, máy chủ tệp
máy chủ3 (Windows Server 2008 R2): DC mới
máy chủ4 (Windows Server 2008 R2): DC mới

Nhật ký

Sự kiện Nhật ký bảo mật: http://imgur.com/a/6cklL .

Hai sự kiện mẫu từ server1 :

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Sự kiện Thay đổi chính sách kiểm toán mẫu từ máy chủ3 (cũng có các sự kiện Thay đổi chính sách kiểm toán trong nhật ký với các thay đổi được đánh dấu "Đã thêm thành công"):

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

Giải pháp đã cố gắng

Sửa các mục DNS. dcdiag /test:dnslúc đầu trả về lỗi sau khi server1 bị hạ cấp. Ví dụ, có các mục máy chủ tên lỗi thời trong các khu vực tra cứu chuyển tiếp của chúng tôi. Tôi đã kết thúc việc mở Trình quản lý DNS và xóa các mục sự cố theo cách thủ công, cũng đảm bảo rằng các mục nhập LDAP và Kerberos được trỏ đến các máy chủ mới. Ví dụ: __ldap.Default-First-Site .__site.dc .__ msdcs.mydomain.local_ trỏ đến server3.mydomain.local .
Xác minh các mục DNS với nslookup. nslookup -type=srv _kerberos._udp.mydomain.localtrả về các mục cho server3 và server4 Nói về server1 .
Làm sạch siêu dữ liệu. Sau khi sử dụng ntdsutilđể dọn sạch siêu dữ liệu như được mô tả trong bài viết TechNet này , ntdsutillệnh chỉ list servers in sitetrả về hai mục nhập, cả hai đều trông ổn:
1. 0 - CN = SERVER4, CN = Máy chủ, CN = Mặc định-Trang web đầu tiên, CN = Trang web, CN = Cấu hình, DC = mydomain, DC = local
2. 1 - CN = SERVER3, CN = Máy chủ, CN = Mặc định-Trang web đầu tiên, CN = Trang web, CN = Cấu hình, DC = mydomain, DC = local
Xóa server1 khỏi các dịch vụ và trang web Active Directory. Sau khi hạ cấp server1 , tôi nhận thấy nó vẫn ở trong Active Directory Site and Services, mặc dù nó không còn được liệt kê như một danh mục toàn cầu. Tôi đã xóa nó theo các hướng dẫn trong bài viết Microsoft KB này .
Chuyển các vai trò chủ hoạt động sang máy chủ3 . Vai trò chủ hoạt động là một chút ngoài ken của tôi, nhưng tôi đã sử dụng ntdsutilđể chuyển tất cả chúng đến server3 sáng nay. Không có lỗi, nhưng khởi động lại và kiểm tra cho thấy server1 vẫn đang thực hiện tất cả xác thực.
Đăng ký lại với DNS và khởi động lại netlogon . Một bài đăng diễn đàn đề nghị chạy ipconfig /registerdnsvà net stop netlogon && net start netlogontrên các máy chủ mới để giải quyết vấn đề liên quan. Nó dường như không giúp được gì.
Đảm bảo rằng GPO chiến thắng trên các bộ điều khiển miền mới cho phép kiểm tra các sự kiện đăng nhập tài khoản và đăng nhập.

Dẫn khác

Vấn đề tương tự được mô tả trong loạt bài viết diễn đàn này . Không có giải pháp.
Nó cũng được mô tả trong câu hỏi này trên Trao đổi chuyên gia . Nhận xét được đánh dấu là một câu trả lời có nội dung: "Nếu [sic] của nó không còn là DC nữa, thì không có cách nào nó có thể xử lý bất kỳ yêu cầu xác thực nào." Đó sẽ là phản ứng của tôi, nhưng chạy dcdiagtrên server1 xác nhận rằng server1 không coi mình là DC. Tuy nhiên, đây vẫn là máy chủ duy nhất xác thực mọi người.

Những gì đang xảy ra ở đây?

— Eric Eskildsen
nguồn

Câu trả lời:

Đó là một máy chủ tệp - người dùng đang kết nối với nó để có quyền truy cập vào tệp? Đó có thể là những gì bạn đang thấy. Những người sẽ xuất hiện trong nhật ký bảo mật.

Đăng một số mục nhật ký (toàn bộ - kết xuất văn bản hoặc ảnh chụp màn hình) từ server1 đang thể hiện hành vi mà bạn quan tâm.

/ Chỉnh sửa - Cảm ơn bạn đã xác nhận. Đăng nhập Loại 3 là "Mạng." Thường thấy nhất khi truy cập các tệp hoặc máy in được chia sẻ trên máy tính đã ghi sự kiện.

— mfinni
nguồn

Cảm ơn, tôi đã tải lên ảnh chụp màn hình nhật ký bảo mật của máy chủ lên imgur trong một chỉnh sửa. Rõ ràng tôi không có đủ danh tiếng để tải lên hình ảnh, vì vậy liên kết được viết bằng văn bản.

— Eric Eskildsen

Điều kỳ lạ với tôi là chỉ server1 ghi lại bất cứ điều gì về đăng nhập và đăng xuất. Tôi đồng ý rằng những cái đó sẽ hiển thị trên một máy chủ tệp, nhưng DC không đăng nhập chúng khi người dùng được xác thực?

— Eric Eskildsen

Đăng nhập toàn bộ mục, xin vui lòng. Hiển thị sự kiện nhật ký thực tế với tất cả văn bản, không phải là danh sách tất cả các mục nhật ký, từ server1.

— mfinni

Nhận xét nhanh cho bất kỳ độc giả nào có vấn đề về các DC mới không đăng nhập các sự kiện kiểm toán: Hóa ra các tệp aud.csv bị hỏng đã ghi đè cài đặt kiểm toán Chính sách nhóm như được mô tả ở đây . Sau khi xóa các tệp CSV và chạy auditpol /clearvà gpupdate /forcetrên các DC mới, tất cả đều hoạt động. Tôi nợ @mfinni vì đã chỉ cho tôi theo hướng cài đặt kiểm toán GPO khi tôi gặp phải tất cả các loại ngỗng hoang dã trong việc khắc phục sự cố!

— Eric Eskildsen

Âm thanh tốt - rất vui vì bạn đã hạ nó xuống. Bạn chắc chắn sẽ muốn dành thời gian đọc về việc chăm sóc và cho ăn các bộ điều khiển miền, các thực tiễn tốt nhất, v.v. MS cũng có rất nhiều bài viết hay và đào tạo tốt.

— mfinni

Một DC bị hạ cấp sẽ không có cách nào tiếp tục xác thực đăng nhập tên miền. Những gì bạn đang thấy là các sự kiện đăng nhập địa phương . Khi bạn đăng nhập vào một máy chủ thành viên với thông tin xác thực tên miền, bạn sẽ thấy các sự kiện đăng nhập cục bộ, cộng với các sự kiện xác thực thông tin xác thực tương ứng trên DC.

Khi bạn đăng nhập vào máy chủ thành viên bằng thông tin xác thực cục bộ, bạn vẫn thấy các sự kiện đăng nhập cục bộ, nhưng sẽ không thấy bất kỳ sự kiện xác thực thông tin xác thực nào trên DC.

— đường dây mạnh
nguồn

Chính xác là đúng, hóa ra DC bị hạ cấp chỉ đang đăng nhập xác thực cho chia sẻ tệp. Có gì nhầm lẫn tôi là các DCs mới không được đăng các sự kiện xác thực ở tất cả . Vấn đề cuối cùng là các tệp aud.csv trên bộ điều khiển miền mới bị hỏng, nhưng làm theo các hướng dẫn về việc xóa các tệp đó trong các bài đăng trên TechNet đã giải quyết điều đó.

— Eric Eskildsen