강등 된 도메인 컨트롤러가 여전히 사용자를 인증

10

강등 된 도메인 컨트롤러가 여전히 사용자를 인증하는 이유는 무엇입니까?

사용자가 도메인 계정으로 워크 스테이션에 로그온 할 때마다이 강등 된 DC가이를 인증합니다. 보안 로그에는 로그온, 로그 오프 및 특수 로그온이 표시됩니다. 새로운 DC의 보안 로그에는 일부 컴퓨터 로그온 및 로그 오프가 표시되지만 도메인 사용자와는 아무런 관련이 없습니다.

배경

  1. server1 (Windows Server 2008) : 최근 강등 된 DC 파일 서버
  2. server3 (Windows Server 2008 R2) : 새로운 DC
  3. server4 (Windows Server 2008 R2) : 새로운 DC

로그

보안 로그 이벤트 : http://imgur.com/a/6cklL .

server1의 두 가지 샘플 이벤트 :

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

server3의 감사 정책 변경 이벤트 샘플 ( "성공 추가"로 표시된 변경 사항이있는 로그에 감사 정책 변경 이벤트 도 있음 ) :

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

시도한 솔루션

  1. DNS 항목 수정 server1 이 강등 된 dcdiag /test:dns후 처음에 오류를 리턴했습니다 . 예를 들어 정방향 조회 영역에 오래된 이름 서버 항목이있었습니다. 결국 DNS 관리자를 열고 문제 항목을 수동으로 제거하고 LDAP 및 Kerberos 항목이 새 서버를 가리 켰는 지 확인했습니다. 예를 들어 __ldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_은 server3.mydomain.local을 가리 킵니다 .
  2. 와 DNS 항목을 확인 nslookup. server3server4에nslookup -type=srv _kerberos._udp.mydomain.local 대한 항목을 반환합니다 . server1 에 대해서는 아무것도 없습니다 .
  3. 메타 데이터 정리 사용 후 ntdsutil설명 메타 데이터를 정리하기 위해 이 TechNet 문서에ntdsutil명령 list servers in site만 반환 두 항목 모두보기 확인 :
    1. 0-CN = SERVER4, CN = 서버, CN = 기본 사이트, CN = 사이트, CN = 구성, DC = mydomain, DC = 로컬
    2. 1-CN = SERVER3, CN = 서버, CN = 기본 사이트, CN = 사이트, CN = 구성, DC = mydomain, DC = 로컬
  4. Active Directory 사이트 및 서비스에서 server1 을 삭제 합니다. server1의 수준을 내린 후에 는 더 이상 글로벌 카탈로그로 표시되지 않았지만 Active Directory 사이트 및 서비스에 남아 있음을 알았습니다. 이 Microsoft KB 기사 의 지침에 따라 삭제했습니다 .
  5. 에 작업 마스터 역할을 전송 서버 3 . 운영 마스터 역할은 켄을 약간 뛰어 넘었지만 오늘 아침에 ntdsutil모두 server3 으로 전송했습니다 . 오류는 없었지만 재부팅 및 테스트 결과 server1 이 여전히 모든 인증을 수행하고있는 것으로 나타났습니다 .
  6. DNS에 다시 등록하고 netlogon을 다시 시작 합니다. 포럼 게시물은 실행중인 것을 제안 ipconfig /registerdns하고 net stop netlogon && net start netlogon새로운 서버에 관련된 문제를 해결하기 위해. 도움이되지 않는 것 같습니다.
  7. 새 도메인 컨트롤러에서 GPO를 수상하면 로그온 및 계정 로그온 이벤트를 감사 할 수 있습니다.

다른 리드

  • 이 일련의 포럼 게시물 에 동일한 문제가 설명되어 있습니다. 해상도가 없습니다.
  • 이 질문에는 Experts Exchange에 대해서도 설명되어 있습니다. 답변으로 표시된 주석은 "[sic] DC가 더 이상 없으면 인증 요청을 처리 할 수있는 방법이 없습니다"라고 읽습니다. 그건 내 반응 것이지만, 실행 dcdiagserver1 서 확인한다하면 해당 서버 1은 직류 자체를 고려하지 않습니다. 그러나 여전히 모든 사람을 인증하는 유일한 서버입니다.

무슨 일이야?

windows-server-2008  active-directory  windows-server-2008-r2  domain-controller  kerberos 
에릭 에스 키드 센
소스

답변:

12

파일 서버입니다. 사용자가 파일에 액세스하기 위해 연결하고 있습니까? 아마 당신이보고있는 것입니다. 보안 로그에 표시됩니다.

관심있는 동작을 보여주는 server1에서 일부 로그 항목 (전체-텍스트 덤프 또는 스크린 샷)을 게시하십시오.

/ 편집-확인해 주셔서 감사합니다. 로그온 유형 3은 "네트워크"입니다. 이벤트를 기록한 컴퓨터의 공유 파일 또는 프린터에 액세스 할 때 가장 자주 나타납니다.

엠피 니
소스
감사합니다 — 저는 서버 보안 로그의 스크린 샷을 업로드하여 편집에 추가했습니다. 이미지를 업로드 할만한 평판이 충분하지 않아서 링크는 텍스트로 표시됩니다.
Eric Eskildsen
이상하게도 server1 만이 로그온 및 로그 오프에 대해 아무것도 기록하지 않습니다. 파일 서버에 표시되어야하지만 사용자가 인증 될 때 DC가 로그를 기록하지 않는 데 동의합니다.
Eric Eskildsen
1
항목을 모두 기록하십시오. server1의 모든 로그 항목 목록이 아닌 모든 텍스트로 실제 로그 이벤트를 표시하십시오.
mfinni
3
감사 이벤트를 기록하지 않는 새 DC 문제가있는 독자를위한 빠른 의견 : 여기에 설명 된대로 손상된 audit.csv 파일이 그룹 정책 감사 설정 재정의 한 것으로 나타났습니다 . csv로 파일을 삭제하고 실행 한 후 auditpol /cleargpupdate /force새로운 수지상에, 모두가 노력하고 있습니다. 문제 해결에서 모든 종류의 야생 거위 추적에 있었을 때 GPO 감사 설정의 방향을 알려준 @mfinni에게 빚을졌습니다!
Eric Eskildsen
1
잘 들리 네요. 도메인 컨트롤러, 모범 사례 등의 관리 및 공급에 대해 읽는 데 시간을 투자하고 싶을 것입니다. MS에는 유용한 기사와 교육도 많이 있습니다.
mfinni
2

강등 된 DC는 도메인 로그온을 계속 인증하지 않습니다. 보고있는 것은 로컬 로그온 이벤트입니다. 도메인 자격 증명이있는 구성원 서버에 로그온하면 로컬로 로그온 이벤트와 DC의 해당 자격 증명 유효성 검사 이벤트가 표시됩니다.

로컬 자격 증명을 사용하여 구성원 서버에 로그온하면 로컬로 로그온 이벤트가 표시되지만 DC에는 자격 증명 유효성 검사 이벤트가 표시되지 않습니다.

강선
소스
1
정확히 맞아 — 강등 된 DC가 파일 공유에 대해서만 인증을 로깅하는 것으로 나타났습니다. 나를 혼란스럽게 한 것은 새로운 DC가 인증 이벤트 를 전혀 기록하지 않았다는 입니다. 문제는 새 도메인 컨트롤러 의 audit.csv 파일이 손상되었지만 이러한 TechNet 게시물 에서 해당 파일을 삭제하는 지침에 따라 해결되었습니다.
Eric Eskildsen
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.