İndirgenmiş etki alanı denetleyicisi hala kullanıcıların kimliğini doğrulıyor

10

İndirgenmiş bir etki alanı denetleyicisi neden hala kullanıcıların kimliğini doğrulıyor?

Kullanıcılar etki alanı hesaplarıyla iş istasyonlarına her giriş yaptığında, bu indirgenmiş DC bunların kimlik doğrulamasını yapar. Güvenlik günlüğü oturum açma, oturum kapatma ve özel oturum açma işlemlerini gösterir. Yeni DC'lerin güvenlik günlüklerinde bazı makine oturumları ve oturum kapatmaları gösterilir, ancak alan adı kullanıcılarıyla hiçbir ilgisi yoktur.

Arka fon

  1. server1 (Windows Server 2008): Son zamanlarda indirgenmiş DC, dosya sunucusu
  2. server3 (Windows Server 2008 R2): Yeni DC
  3. server4 (Windows Server 2008 R2): Yeni DC

Kütükler

Güvenlik Günlüğü Olayları: http://imgur.com/a/6cklL .

Sunucudan iki örnek olay1 :

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Sunucu3'ten Örnek Denetim İlkesi Değişikliği olayı ( günlükte "Başarı Eklendi" olarak işaretlenmiş değişikliklerle Denetim İlkesi Değişikliği olayları da vardır ):

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

Denenmiş Çözümler

  1. DNS girişlerini düzeltme. dcdiag /test:dnsilk olarak sunucu1 indirildikten sonra hata döndürüldü . Örneğin, ileriye doğru arama bölgelerimizde eski ad sunucusu girişleri vardı. DNS Manager'ı açıp sorunlu girişleri elle kaldırarak LDAP ve Kerberos girişlerinin yeni sunucuları göstermesini sağladım. Örneğin, __ldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_, server3.mydomain.local adresini gösterir .
  2. İle DNS girişleri doğrulanıyor nslookup. server3 ve server4nslookup -type=srv _kerberos._udp.mydomain.local için girişleri döndürür - server1 hakkında hiçbir şey .
  3. Meta verileri temizleme. Bu TechNet makalesindentdsutil açıklandığı gibi meta verileri temizlemek için kullandıktan sonra , komut her ikisi de iyi görünen yalnızca iki giriş döndürür: ntdsutillist servers in site
    1. 0 - CN = SERVER4, CN = Sunucular, CN = Varsayılan-İlk Site, CN = Siteler, CN = Yapılandırma, DC = alanim, DC = yerel
    2. 1 - CN = SERVER3, CN = Sunucular, CN = Varsayılan-İlk Site, CN = Siteler, CN = Yapılandırma, DC = alanim, DC = yerel
  4. Sunucu1'i Active Directory Siteleri ve Hizmetleri'nden silme . Sunucu1 indirgildikten sonra , artık genel katalog olarak listelenmese de Active Directory Siteleri ve Hizmetleri'nde kaldığını fark ettim. Bu Microsoft KB makalesindeki talimatlara göre sildim .
  5. İşlem yöneticisi rollerini sunucuya aktarma 3 . İşlem yöneticisi rolleri benim ken'min biraz ötesinde, ama bu sabah ntdsutilhepsini sunucu3'e aktarıyordum . Hata yoktu, ancak yeniden başlatmalar ve testler sunucu1'in hala tüm kimlik doğrulamasını yaptığını gösterdi .
  6. DNS ile tekrar kayıt olmak ve netlogon'u yeniden başlatmak . Bir forum mesajı çalışan önerdi ipconfig /registerdnsve net stop netlogon && net start netlogonyeni sunucularda ilgili sorunu çözmek için. Yardım etmedi.
  7. Yeni etki alanı denetleyicilerinde kazanan GPO'nun oturum açma ve hesap oturum açma olaylarının denetlenmesine olanak verdiğinden emin olmak.

Diğer İlanlar

  • Aynı sorun bu forum gönderileri dizisinde de açıklanmaktadır . Çözüm yok.
  • Bu soruda ayrıca Uzmanlar Borsası'nda da açıklanmaktadır . Yanıt olarak işaretlenen yorumda, "Onun [sic] değeri artık bir DC değilse, herhangi bir kimlik doğrulama isteğini işleme koymanın bir yolu yoktur." Bu tepkim olurdu, ama çalışan dcdiagüzerinde sunucu1 onaylar sunucu1 DC kendisini dikkate almaz. Yine de herkesin kimliğini doğrulayan tek sunucudur.

Burada neler oluyor?

windows-server-2008  active-directory  windows-server-2008-r2  domain-controller  kerberos 
Eric Eskildsen
kaynak

Yanıtlar:

12

Bu bir dosya sunucusu - kullanıcılar dosyalara erişmek için ona bağlanıyor mu? Muhtemelen bunu görüyorsunuz. Bunlar güvenlik günlüklerinde görünecekti.

Endişe duyduğunuz davranışı gösteren sunucu1'den bazı günlük girişlerini (bütünüyle - metin dökümü veya ekran görüntüsü) yayınlayın.

/ Düzenle - Onayladığınız için teşekkürler. Oturum Açma Türü 3 "Ağ" dır. Çoğunlukla olayı kaydeden bilgisayardaki paylaşılan dosyalara veya yazıcılara erişirken görülür.

mfinni
kaynak
Teşekkürler — Düzenlemede imgur olması için sunucuların güvenlik günlüklerinin ekran görüntülerini yükledim. Görünüşe göre görüntüleri yüklemek için yeterli üne sahip değilim, bu yüzden bağlantı metinde yazılmıştır.
Eric Eskildsen
Benim için garip olan şey, sadece server1'in oturum açma ve oturum kapatmayla ilgili bir şey kaydetmesidir . Bunların bir dosya sunucusunda görünmesi gerektiğini kabul ediyorum, ancak DC'ler kullanıcıların kimliği doğrulandığında bunları günlüğe kaydetmiyor mu?
Eric Eskildsen
1
Girişlerin tamamını yazınız, lütfen. Sunucu1'den, tüm günlük girişlerinin listesini değil, tüm metni içeren gerçek günlük olayını gösterin.
mfinni
3
Yeni DC'lerin denetim olaylarını günlüğe kaydetmemesi sorunu olan tüm okuyucular için hızlı yorum: Bozuk audit.csv dosyalarının burada açıklandığı gibi Grup İlkesi denetim ayarlarını geçersiz kıldığı ortaya çıktı . CSV dosyaları silerek ve çalıştırdıktan sonra auditpol /clearve gpupdate /forceyeni DC'lerde, tüm çalışıyor. @ Mfinni'yi sorun giderme konusunda her türlü vahşi kaz kovalamacısındayken beni GPO denetim ayarları yönüne gösterdiği için borçluyum!
Eric Eskildsen
1
Kulağa hoş geliyor - bunu indirmene sevindim. Etki alanı denetleyicilerinin bakımı ve beslenmesi, en iyi uygulamalar vb. Konularını okumak için kesinlikle biraz zaman harcamak isteyeceksiniz. MS'in de birçok iyi makalesi ve eğitimi var.
mfinni
2

İndirgenmiş bir DC hiçbir şekilde alan adı oturum açmalarının kimliğini doğrulamaya devam etmez. Gördüğünüz şey yerel oturum açma olaylarıdır. Etki alanı kimlik bilgileriyle bir üye sunucuda oturum açtığınızda, yerel olarak oturum açma olaylarının yanı sıra DC'de karşılık gelen kimlik doğrulama olaylarını görürsünüz.

Üye sunucuda yerel kimlik bilgileriyle oturum açtığınızda, yerel olarak oturum açma olaylarını görmeye devam edersiniz, ancak DC'de herhangi bir kimlik doğrulama olayı görmezsiniz.

Strongline
kaynak
1
Tam olarak doğru — indirgenmiş DC'nin yalnızca dosya paylaşımları için kimlik doğrulamasını günlüğe kaydettiği ortaya çıktı. Beni karıştı yeni DC'ler kimlik doğrulama olaylarını günlüğe değil idi hiç . Sorun , yeni etki alanı denetleyicilerindeki audit.csv dosyalarının bozuk olması, ancak bu TechNet gönderilerindeki bu dosyaların silinmesine ilişkin yönergeleri izleyerek çözülmesine neden oldu.
Eric Eskildsen
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.