降格したドメインコントローラーがまだユーザーを認証している

10

降格したドメインコントローラーが依然としてユーザーを認証しているのはなぜですか?

ユーザーがドメインアカウントでワークステーションにログオンするたびに、この降格されたDCがユーザーを認証します。そのセキュリティログには、ログオン、ログオフ、および特別なログオンが表示されます。新しいDCのセキュリティログには、一部のマシンログオンとログオフが表示されますが、ドメインユーザーとは関係ありません。

バックグラウンド

  1. server1(Windows Server 2008):最近降格したDC、ファイルサーバー
  2. server3(Windows Server 2008 R2):新しいDC
  3. server4(Windows Server 2008 R2):新しいDC

ログ

セキュリティログイベント:http : //imgur.com/a/6cklL

server1からの2つのサンプルイベント:

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

server3からのサンプルのAudit Policy Changeイベント(ログに「Success Added」とマークされた変更が記録されたAudit Policy Changeイベントもあります):

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

試みられた解決策

  1. DNSエントリの修正。 server1が降格されたdcdiag /test:dns後、最初はエラーを返しました。たとえば、前方参照ゾーンに古いネームサーバーエントリがありました。最終的にDNSマネージャーを開いて問題のあるエントリを手動で削除し、LDAPとKerberosのエントリが新しいサーバーを指すようにしました。たとえば、__ldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_はserver3.mydomain.localを指します。
  2. DNSエントリをで確認していますnslookup server3およびserver4のnslookup -type=srv _kerberos._udp.mydomain.localエントリを返します— server1については何も返しません。
  3. メタデータをクリーンアップしています。このTechNet記事ntdsutil説明さているようを使用してメタデータをクリーンアップした後、ntdsutilコマンドlist servers in siteは2つのエントリのみを返します。
    1. 0-CN = SERVER4、CN = Servers、CN = Default-First-Site、CN = Sites、CN = Configuration、DC = mydomain、DC = local
    2. 1-CN = SERVER3、CN = Servers、CN = Default-First-Site、CN = Sites、CN = Configuration、DC = mydomain、DC = local
  4. Active Directoryサイトとサービスからserver1を削除していますserver1を降格したところ、Active Directoryサイトとサービスに残っていることに気付きましたが、グローバルカタログとしては表示されなくなりました。このMicrosoft KB記事の指示に従って削除しました。
  5. 操作マスターの役割をserver3に転送しています操作マスターの役割は私のケンを少し超えていますが、私は今朝ntdsutilそれらすべてをserver3に転送するために使用していました。エラーはありませんでしたが、再起動とテストにより、server1がまだすべての認証を行っていることがわかりました。
  6. DNSに再登録し、netlogonを再起動します。フォーラムの投稿には、実行中の提案ipconfig /registerdnsnet stop netlogon && net start netlogonの関連問題を解決する新しいサーバー上で。それは助けにならなかったようです。
  7. 新しいドメインコントローラーで優勝したGPOがログオンおよびアカウントログオンイベントの監査を確実に有効にするようにします。

その他のリード

  • この一連のフォーラム投稿でも同じ問題が説明されています。解決策はありません。
  • また、Experts Exchangeに関するこの質問でも説明されています。回答としてマークされたコメントには、「そのDCがもうDCではない場合、認証要求を処理する方法はありません」と書かれています。それは私の反応でしょうが、server1で実行dcdiagすると、server1はそれ自体をDCと見なさないことが確認されます。それでも、それはまだ全員を認証する唯一のサーバーです。

何が起きてる?

windows-server-2008  active-directory  windows-server-2008-r2  domain-controller  kerberos 
エリック・エスキルセン
ソース

回答:

12

それはファイルサーバーです-ユーザーはそれに接続してファイルにアクセスしていますか?それはおそらくあなたが見ているものです。これらはセキュリティログに表示されます。

懸念される動作を示しているserver1から、いくつかのログエントリ(テキストダンプまたはスクリーンショット全体)を投稿します。

/編集-確認していただきありがとうございます。ログオンタイプ3は「ネットワーク」です。イベントをログに記録したコンピューター上の共有ファイルまたはプリンターにアクセスするときに最もよく見られます。

mfinni
ソース
ありがとう—サーバーのセキュリティログのスクリーンショットをアップロードして編集しました。どうやら私は画像をアップロードするのに十分な評判がないので、リンクはテキストで綴られています。
Eric Eskildsen、2014年
私にとって奇妙なことは、server1だけがログオンとログオフについて何かをログに記録するということです。これらはファイルサーバーに表示されるはずですが、ユーザーが認証されたときにDCがログに記録しないことに同意しますか?
Eric Eskildsen、2014年
1
ログエントリ全体を入力してください。server1からのすべてのログエントリのリストではなく、すべてのテキストを含む実際のログイベントを表示します。
mfinni 2014年
3
新しいDCが監査イベントをログに記録しない問題のある読者へのクイックコメント:ここで説明するように、破損したaudit.csvファイルがグループポリシー監査設定上書きしていたことがわかりました。CSVファイルを削除して実行し、新しいDCで実行するauditpol /cleargpupdate /force、すべてが機能します。トラブルシューティングであらゆる種類の野生のガチョウの追跡を行っていたときに、GPO監査設定の方向を指示してくれた@mfinniを借りています!
Eric Eskildsen、2014年
1
良さそうですね-うまくいきました。ドメインコントローラーの管理と供給、ベストプラクティスなどについては、ある程度の時間をかけて読むことをお勧めします。MSには、優れた記事やトレーニングも多数用意されています。
mfinni 2014年
2

降格したDCは、ドメインログオンの認証を継続しません。表示されているのは、ローカルログオンイベントです。ドメインの資格情報を使用してメンバーサーバーにログオンすると、ローカルでログオンイベントと、DCで対応する資格情報の検証イベントが表示されます。

ローカルの資格情報を使用してメンバーサーバーにログオンすると、ログオンイベントはローカルで表示されますが、DCで資格情報の検証イベントは表示されません。

ストロングライン
ソース
1
正解です。降格したDCはファイル共有の認証のみを記録していることがわかりました。私を混乱させたのは、新しいDCが認証イベントをまったく記録していなかったことでした。問題は、新しいドメインコントローラーのaudit.csvファイルが破損しているということでしたが、これらのTechNetの投稿これらのファイルを削除する手順に従うことで解決しました。
エリックエスキルセン14
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.