Pengontrol domain yang diturunkan masih mengautentikasi pengguna

10

Mengapa kontroler domain yang didemosiasikan masih mengautentikasi pengguna?

Setiap kali pengguna masuk ke workstation dengan akun domain, DC yang diturunkan ini mengotentikasi mereka. Log keamanannya menunjukkan info masuk, masuk, dan masuk khusus. Log keamanan DC baru kami menunjukkan beberapa masuk dan keluar mesin, tetapi tidak ada hubungannya dengan pengguna domain.

Latar Belakang

  1. server1 (Windows Server 2008): DC baru-baru ini diturunkan dari server file
  2. server3 (Windows Server 2008 R2): New DC
  3. server4 (Windows Server 2008 R2): New DC

Log

Acara Log Keamanan: http://imgur.com/a/6cklL .

Dua contoh acara dari server1 :

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Contoh Acara Perubahan Kebijakan Audit dari server3 (ada juga peristiwa Perubahan Kebijakan Audit dalam log dengan perubahan bertanda "Berhasil Ditambahkan"):

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

Solusi yang Dicoba

  1. Memperbaiki entri DNS. dcdiag /test:dnspada awalnya mengembalikan kesalahan setelah server1 diturunkan. Ada entri server nama yang ketinggalan zaman di zona pencarian maju kami, misalnya. Saya akhirnya membuka DNS Manager dan menghapus entri masalah secara manual, juga memastikan bahwa entri LDAP dan Kerberos menunjuk ke server baru. Sebagai contoh, __ldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_ menunjuk ke server3.mydomain.local .
  2. Memverifikasi entri DNS dengan nslookup. nslookup -type=srv _kerberos._udp.mydomain.localmengembalikan entri untuk server3 dan server4 —tidak ada tentang server1 .
  3. Membersihkan metadata. Setelah menggunakan ntdsutiluntuk membersihkan metadata seperti yang dijelaskan dalam artikel TechNet ini , ntdsutilperintah list servers in sitehanya mengembalikan dua entri, yang keduanya terlihat OK:
    1. 0 - CN = SERVER4, CN = Server, CN = Situs-Default-Pertama, CN = Situs, CN = Konfigurasi, DC = mydomain, DC = lokal
    2. 1 - CN = SERVER3, CN = Server, CN = Situs-Default-Pertama, CN = Situs, CN = Konfigurasi, DC = mydomain, DC = lokal
  4. Menghapus server1 dari Situs dan Layanan Direktori Aktif. Setelah menurunkan server1 , saya perhatikan itu tetap di Situs dan Layanan Direktori Aktif, meskipun itu tidak lagi terdaftar sebagai katalog global. Saya menghapusnya sesuai dengan instruksi dalam artikel Microsoft KB ini .
  5. Mentransfer peran utama operasi ke server3 . Peran utama operasi sedikit di luar ken saya, tapi saya biasa ntdsutilmentransfer semuanya ke server3 pagi ini. Tidak ada kesalahan, tetapi reboot dan tes menunjukkan bahwa server1 masih melakukan semua otentikasi.
  6. Daftarkan ulang dengan DNS dan mulai ulang netlogon . Posting forum menyarankan untuk menjalankan ipconfig /registerdnsdan net stop netlogon && net start netlogondi server baru untuk menyelesaikan masalah terkait. Sepertinya tidak membantu.
  7. Memastikan bahwa GPO yang menang pada pengontrol domain baru memungkinkan diaudit untuk peristiwa masuk dan akun masuk.

Petunjuk Lainnya

  • Masalah yang sama dijelaskan dalam seri posting forum ini . Tidak ada resolusi.
  • Ini juga dijelaskan dalam pertanyaan ini di Experts Exchange . Komentar yang ditandai sebagai jawaban berbunyi, "Jika tidak lagi DC, maka tidak ada cara untuk memproses permintaan otentikasi." Itu akan menjadi reaksi saya, tetapi berjalan dcdiagdi server1 mengkonfirmasi bahwa server1 tidak menganggap dirinya DC. Namun itu masih satu-satunya server yang mengautentikasi semua orang.

Apa yang terjadi di sini?

Eric Eskildsen
sumber

Jawaban:

12

Ini adalah file server - apakah pengguna terhubung untuk mendapatkan akses ke file? Sepertinya itu yang Anda lihat. Itu akan muncul di log keamanan.

Posting beberapa entri log (secara keseluruhan - dump teks atau tangkapan layar) dari server1 yang menunjukkan perilaku yang Anda khawatirkan.

/ Sunting - Terima kasih telah mengonfirmasi. Logon Tipe 3 adalah "Jaringan." Paling sering terlihat ketika mengakses file atau printer yang dibagikan di komputer yang mencatat peristiwa tersebut.

mfinni
sumber
Terima kasih — saya mengunggah tangkapan layar dari log keamanan server untuk membuat imgur di edit. Tampaknya saya tidak memiliki reputasi yang cukup untuk mengunggah gambar, jadi tautannya tertulis dalam teks.
Eric Eskildsen
Yang aneh bagi saya adalah bahwa hanya server1 mencatat apa pun tentang masuk dan keluar. Saya setuju bahwa itu harus muncul di server file, tetapi jangan DC mencatatnya ketika pengguna diautentikasi?
Eric Eskildsen
1
Entri log secara keseluruhan, silakan. Tampilkan aktivitas log aktual dengan semua teks, bukan daftar semua entri log, dari server1.
mfinni
3
Komentar cepat untuk setiap pembaca dengan masalah DC baru yang tidak mencatat peristiwa audit: Ternyata file audit.csv yang korup mengesampingkan pengaturan audit Kebijakan Grup seperti dijelaskan di sini . Setelah menghapus file CSV dan menjalankan auditpol /cleardan gpupdate /forcepada DC baru, semua berfungsi. Saya berhutang kepada @mfinni karena mengarahkan saya ke arah pengaturan audit GPO ketika saya menggunakan semua jenis pengejaran angsa liar dalam pemecahan masalah!
Eric Eskildsen
1
Kedengarannya bagus - senang Anda melakukannya. Anda pasti ingin menghabiskan waktu membaca tentang perawatan dan pemberian makan pengontrol domain, praktik terbaik, dll. MS memiliki banyak artikel bagus dan pelatihan yang tersedia juga.
mfinni
2

DC yang didemosiasi tidak akan melanjutkan untuk mengautentikasi login domain. Apa yang Anda lihat adalah acara masuk lokal . Saat Anda masuk ke server anggota dengan kredensial domain, Anda akan melihat acara masuk secara lokal, ditambah acara validasi kredensial yang sesuai di DC.

Ketika Anda masuk ke server anggota dengan kredensial lokal, Anda masih melihat acara masuk secara lokal, tetapi tidak akan melihat peristiwa validasi kredensial di DC.

garis keras
sumber
1
Tepat sekali — ternyata DC yang didemosiasikan hanya mencatat otentikasi untuk pembagian file saja. Yang membingungkan saya adalah bahwa DC baru tidak mencatat peristiwa otentikasi sama sekali . Masalahnya akhirnya adalah bahwa file audit.csv pada pengontrol domain baru rusak, tetapi mengikuti instruksi tentang menghapus file-file di posting TechNet ini diselesaikan itu.
Eric Eskildsen