Демонтований контролер домену все ще автентифікує користувачів

10

Чому контрольований доменний ідентифікатор все ще автентифікує користувачів?

Кожен раз, коли користувачі входять на робочі станції з обліковими записами домену, цей знижений постійний струм підтверджує їх автентичність. Її журнал безпеки показує їхні входи, виходи та спеціальні логотипи. У наших нових журналах безпеки постійних джерел безпеки відображаються деякі машинні входи та виходи, але нічого спільного з користувачами домену.

Фон

  1. server1 (Windows Server 2008): нещодавно демонтований DC, файловий сервер
  2. server3 (Windows Server 2008 R2): новий постійний струм
  3. server4 (Windows Server 2008 R2): новий постійний струм

Колода

Події журналу безпеки: http://imgur.com/a/6cklL .

Два зразкових події з сервера1 :

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Зразок події зміни політики аудиту з server3 ( у журналі також є події зміни політики аудиту із змінами, позначеними "Успіх додано"):

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

Спроби рішення

  1. Виправлення записів DNS. dcdiag /test:dnsспочатку повертаються помилки після демонтажу сервера1. Наприклад, застарілі записи сервера імен у наших зонах пошуку вперед. Я в кінцевому підсумку відкрив DNS Manager і видалив проблемні записи вручну, також переконавшись, що записи LDAP та Kerberos вказали на нові сервери. Наприклад, __ldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_ вказує на сервер3.mydomain.local .
  2. Перевірка записів DNS за допомогою nslookup. nslookup -type=srv _kerberos._udp.mydomain.localповертає записи для server3 та server4 — нічого про server1 .
  3. Очищення метаданих. Після використання ntdsutilдля очищення метаданих, як описано в цій статті TechNet , ntdsutilкоманда list servers in siteповертає лише дві записи, які з обох виглядають нормально:
    1. 0 - CN = SERVER4, CN = сервери, CN = default-first-site, CN = Sites, CN = конфігурація, DC = мій домен, DC = локальний
    2. 1 - CN = SERVER3, CN = сервери, CN = default-first-site, CN = Sites, CN = конфігурація, DC = мій домен, DC = локальний
  4. Видалення server1 з сайтів та служб Active Directory Після демонтажу сервера1 я помітив, що він залишається в Сайтах та службах Active Directory, хоча він більше не зазначається як глобальний каталог. Я видалив її згідно з інструкціями в цій статті Microsoft KB .
  5. Перенесення головних ролей операцій на сервер3 . Основні ролі операцій трохи перевищують мій кен, але я ntdsutilвсе-таки передав їх на сервер3 цього ранку. Помилок не було, але перезавантаження та тести показали, що server1 все ще робив всю автентифікацію.
  6. Перереєстрація за допомогою DNS та перезапуск Netlogon . Повідомлення форуму запропонувало запустити ipconfig /registerdnsі net stop netlogon && net start netlogonна нових серверах, щоб вирішити пов’язану проблему. Здавалося, це не допомогло.
  7. Забезпечення того, що перемогла GPO на нових контролерах домену дозволяє проводити аудит подій входу в систему та облікового запису.

Інші ведучі

  • Ця ж проблема описана в цій серії публікацій на форумі . Немає резолюції.
  • Це також описано в цьому питанні на експертній біржі . У коментарі, позначеному як відповідь, сказано: "Якщо його [sic] більше не є постійним струмом, тоді немає можливості обробити будь-які запити аутентифікації". Це була б моя реакція, але робота dcdiagна сервері1 підтверджує, що server1 не вважає себе постійним струмом. І все-таки це єдиний сервер, який підтверджує всіх.

Що тут відбувається?

windows-server-2008  active-directory  windows-server-2008-r2  domain-controller  kerberos 
Ерік Ескільдсен
джерело

Відповіді:

12

Це файловий сервер - чи підключаються користувачі до нього, щоб отримати доступ до файлів? Це, мабуть, те, що ви бачите. Вони відображатимуться в журналах безпеки.

Опублікуйте деякі записи журналу (у повному обсязі - текстовий дамп або скріншот) з сервера1, який відображає поведінку, яка вас турбує.

/ Редагувати - Дякую за підтвердження. Тип входу 3 - це "Мережа". Найчастіше це спостерігається під час доступу до спільних файлів або принтерів на комп’ютері, який реєстрував подію.

mfinni
джерело
Дякую - я завантажив скріншоти журналів безпеки серверів, щоб відобразити редагування. Мабуть, у мене недостатньо репутації для завантаження зображень, тому посилання прописано в тексті.
Ерік Ескільдсен
Для мене дивно, що тільки сервер1 реєструє що-небудь про логотипи та виходи з системи. Я погоджуюсь, що вони повинні з’являтися на файловому сервері, але чи не вводять їх постійні реєстратори при аутентифікації користувачів?
Ерік Ескільдсен
1
Будь ласка, введіть записи в повному обсязі. Показати фактичну подію журналу з усім текстом, а не списком усіх записів журналу, із сервера1.
mfinni
3
Швидкий коментар для будь-яких читачів із проблемою, що нові DC не реєструють події аудиту: виявляється, що пошкоджені файли audit.csv переосмислили налаштування аудиту групової політики, як описано тут . Після видалення файлів CSV та запуску auditpol /clearта gpupdate /forceна нових постійних токах все працює. Я зобов'язаний @mfinni за те, що він вказав мені в напрямку налаштувань аудиту GPO, коли я знаходився на всіляких погонах за дикими гусками у вирішенні проблем!
Ерік Ескільдсен
1
Звучить добре - радий, що ти це знищив. Ви неодмінно захочете витратити деякий час, читаючи на догляд та годування контролерами домену, кращі практики тощо. У MS є також багато хороших статей та тренінгів.
mfinni
2

Занижений DC ні в якому разі не продовжує автентифікувати логотипи домену. Що ви бачите, це локальні події входу в систему. Коли ви ввійдете на сервер-учасник з обліковими даними домену, ви побачите події входу на локальному рівні, а також відповідні події перевірки облікових даних в DC.

Коли ви входите на сервер-учасник з локальними обліковими записами, ви все ще бачите події входу на локальному рівні, але не буде відображено подій перевірки облікових даних в DC.

сильна лінія
джерело
1
Цілком вірно - виявилося, що занижений DC реєстрував автентифікацію лише для спільних файлів. Що збентежило мене в тому , що нові контролери домену не реєстрації подій аутентифікації на всіх . Проблема зрештою полягала в тому, що файли audit.csv на нових контролерах домену були пошкоджені, але дотримуючись інструкцій щодо видалення цих файлів у цих публікаціях TechNet це вирішено.
Ерік Ескільдсен
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.