Mengapa kontroler domain yang didemosiasikan masih mengautentikasi pengguna?
Setiap kali pengguna masuk ke workstation dengan akun domain, DC yang diturunkan ini mengotentikasi mereka. Log keamanannya menunjukkan info masuk, masuk, dan masuk khusus. Log keamanan DC baru kami menunjukkan beberapa masuk dan keluar mesin, tetapi tidak ada hubungannya dengan pengguna domain.
Latar Belakang
- server1 (Windows Server 2008): DC baru-baru ini diturunkan dari server file
- server3 (Windows Server 2008 R2): New DC
- server4 (Windows Server 2008 R2): New DC
Log
Acara Log Keamanan: http://imgur.com/a/6cklL .
Dua contoh acara dari server1 :
Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: MYDOMAIN\auser
Account Name: auser
Account Domain: MYDOMAIN
Logon ID: 0x8b792ce
Logon GUID: {54063226-E9B7-D357-AD58-546793C9CA59}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: 192.168.20.143
Source Port: 52834
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
[ ... ]
Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: MYDOMAIN\anotheruser
Account Name: anotheruser
Account Domain: MYDOMAIN
Logon ID: 0x8b74ea5
Logon GUID: {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: 192.168.20.203
Source Port: 53027
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Contoh Acara Perubahan Kebijakan Audit dari server3 (ada juga peristiwa Perubahan Kebijakan Audit dalam log dengan perubahan bertanda "Berhasil Ditambahkan"):
System audit policy was changed.
Subject:
Security ID: SYSTEM
Account Name: SERVER3$
Account Domain: MYDOMAIN
Logon ID: 0x3e7
Audit Policy Change:
Category: Account Logon
Subcategory: Kerberos Authentication Service
Subcategory GUID: {0cce9242-69ae-11d9-bed3-505054503030}
Changes: Success removed
Solusi yang Dicoba
- Memperbaiki entri DNS.
dcdiag /test:dns
pada awalnya mengembalikan kesalahan setelah server1 diturunkan. Ada entri server nama yang ketinggalan zaman di zona pencarian maju kami, misalnya. Saya akhirnya membuka DNS Manager dan menghapus entri masalah secara manual, juga memastikan bahwa entri LDAP dan Kerberos menunjuk ke server baru. Sebagai contoh, __ldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_ menunjuk ke server3.mydomain.local . - Memverifikasi entri DNS dengan
nslookup
.nslookup -type=srv _kerberos._udp.mydomain.local
mengembalikan entri untuk server3 dan server4 —tidak ada tentang server1 . - Membersihkan metadata. Setelah menggunakan
ntdsutil
untuk membersihkan metadata seperti yang dijelaskan dalam artikel TechNet ini ,ntdsutil
perintahlist servers in site
hanya mengembalikan dua entri, yang keduanya terlihat OK:- 0 - CN = SERVER4, CN = Server, CN = Situs-Default-Pertama, CN = Situs, CN = Konfigurasi, DC = mydomain, DC = lokal
- 1 - CN = SERVER3, CN = Server, CN = Situs-Default-Pertama, CN = Situs, CN = Konfigurasi, DC = mydomain, DC = lokal
- Menghapus server1 dari Situs dan Layanan Direktori Aktif. Setelah menurunkan server1 , saya perhatikan itu tetap di Situs dan Layanan Direktori Aktif, meskipun itu tidak lagi terdaftar sebagai katalog global. Saya menghapusnya sesuai dengan instruksi dalam artikel Microsoft KB ini .
- Mentransfer peran utama operasi ke server3 . Peran utama operasi sedikit di luar ken saya, tapi saya biasa
ntdsutil
mentransfer semuanya ke server3 pagi ini. Tidak ada kesalahan, tetapi reboot dan tes menunjukkan bahwa server1 masih melakukan semua otentikasi. - Daftarkan ulang dengan DNS dan mulai ulang netlogon . Posting forum menyarankan untuk menjalankan
ipconfig /registerdns
dannet stop netlogon && net start netlogon
di server baru untuk menyelesaikan masalah terkait. Sepertinya tidak membantu. - Memastikan bahwa GPO yang menang pada pengontrol domain baru memungkinkan diaudit untuk peristiwa masuk dan akun masuk.
Petunjuk Lainnya
- Masalah yang sama dijelaskan dalam seri posting forum ini . Tidak ada resolusi.
- Ini juga dijelaskan dalam pertanyaan ini di Experts Exchange . Komentar yang ditandai sebagai jawaban berbunyi, "Jika tidak lagi DC, maka tidak ada cara untuk memproses permintaan otentikasi." Itu akan menjadi reaksi saya, tetapi berjalan
dcdiag
di server1 mengkonfirmasi bahwa server1 tidak menganggap dirinya DC. Namun itu masih satu-satunya server yang mengautentikasi semua orang.
Apa yang terjadi di sini?
sumber
auditpol /clear
dangpupdate /force
pada DC baru, semua berfungsi. Saya berhutang kepada @mfinni karena mengarahkan saya ke arah pengaturan audit GPO ketika saya menggunakan semua jenis pengejaran angsa liar dalam pemecahan masalah!DC yang didemosiasi tidak akan melanjutkan untuk mengautentikasi login domain. Apa yang Anda lihat adalah acara masuk lokal . Saat Anda masuk ke server anggota dengan kredensial domain, Anda akan melihat acara masuk secara lokal, ditambah acara validasi kredensial yang sesuai di DC.
Ketika Anda masuk ke server anggota dengan kredensial lokal, Anda masih melihat acara masuk secara lokal, tetapi tidak akan melihat peristiwa validasi kredensial di DC.
sumber