每当用户使用域帐户登录工作站时,此降级DC会对其进行身份验证.其安全日志显示其登录,注销和特殊登录.我们新的DC的安全日志显示了一些机器登录和注销,但与域用户无关.
背景
> server1(Windows Server 2008):最近降级的DC,文件服务器
> server3(Windows Server 2008 R2):新DC
> server4(Windows Server 2008 R2):新DC
日志
安全日志事件:http://imgur.com/a/6cklL.
来自server1的两个示例事件:
Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,logon,"An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - logon ID: 0x0 logon Type: 3 New logon: Security ID: MYDOMAIN\auser Account Name: auser Account Domain: MYDOMAIN logon ID: 0x8b792ce logon GUID: {54063226-E9B7-D357-AD58-546793C9CA59} Process information: Process ID: 0x0 Process Name: - Network information: Workstation Name: Source Network Address: 192.168.20.143 Source Port: 52834 Detailed Authentication information: logon Process: Kerberos Authentication Package: Kerberos Transited Services: - Package Name (NTLM only): - Key Length: 0 [ ... ] Audit Success,3/31/2014 11:06:06 AM,"An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - logon ID: 0x0 logon Type: 3 New logon: Security ID: MYDOMAIN\anotheruser Account Name: anotheruser Account Domain: MYDOMAIN logon ID: 0x8b74ea5 logon GUID: {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718} Process information: Process ID: 0x0 Process Name: - Network information: Workstation Name: Source Network Address: 192.168.20.203 Source Port: 53027 Detailed Authentication information: logon Process: Kerberos Authentication Package: Kerberos Transited Services: - Package Name (NTLM only): - Key Length: 0
来自server3的示例审核策略更改事件(日志中还有审核策略更改事件,其中更改标记为“已成功添加”):
System audit policy was changed. Subject: Security ID: SYstem Account Name: SERVER3$ Account Domain: MYDOMAIN logon ID: 0x3e7 Audit Policy Change: Category: Account logon Subcategory: Kerberos Authentication Service Subcategory GUID: {0cce9242-69ae-11d9-bed3-505054503030} Changes: Success removed
试图解决方案
>修复DNS条目. dcdiag / test:在server1降级后,dns首先返回错误.例如,我们的正向查找区域中存在过时的名称服务器条目.我最终打开DNS管理器并手动删除问题条目,同时确保LDAP和Kerberos条目指向新服务器.例如,__ oldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_指向server3.mydomain.local.
>使用nslookup验证DNS条目. nslookup -type = srv _kerberos._udp.mydomain.local返回server3和server4的条目 – 没有关于server1的条目.
>清理元数据.使用ntdsutil按照in this TechNet article所述清理元数据后,站点中的ntdsutil命令列表服务器只返回两个条目,这两个条目看起来都正常:
> 0 – CN = SERVER4,CN =服务器,CN =默认 – 第一站点,CN =站点,CN =配置,DC = mydomain,DC =本地
> 1 – CN = SERVER3,DC =本地
>从Active Directory站点和服务中删除server1.在降级server1之后,我注意到它仍然存在于Active Directory站点和服务中,尽管它不再列为全局编录.我按照this Microsoft KB article中的说明删除了它.
>将操作主机角色转移到server3.操作主机角色有点超出我的想法,但今天早上我使用ntdsutil将它们全部传输到server3.没有错误,但重新启动和测试显示server1仍在进行所有身份验证.
>重新注册DNS并重新启动netlogon.一篇论坛帖子建议运行ipconfig / registerdns和net stop netlogon&& net start netlogon在新服务器上解决相关问题.它似乎没有帮助.
>确保新域控制器上的获胜GPO可以启用对登录和帐户登录事件的审核.
其他潜在客户
>在this series of forum posts中描述了同样的问题.没有解决方案.
>它也在0700中描述.标记为答案的评论写道:“如果它的[原文如此]不再是DC,那么它就无法处理任何认证请求.”这将是我的反应,但在server1上运行dcdiag确认server1不认为自己是DC.然而,它仍然是唯一验证每个人的服务器.
这里发生了什么?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
