web-dev-qa-db-ja.com

降格したドメインコントローラーがまだユーザーを認証している

降格したドメインコントローラが依然としてユーザーを認証しているのはなぜですか?

ユーザーがドメインアカウントを使用してワークステーションにログオンするたびに、これがDC=ユーザーを認証します。そのセキュリティログには、ログオン、ログオフ、および特別なログオンが表示されます。新しいDCのセキュリティログには、一部のマシンログオンとログオフが表示されます。ドメインユーザーとは関係ありません。

バックグラウンド

  1. server1(Windows Server 2008):最近降格されたDC、ファイルサーバー
  2. server3(Windows Server 2008 R2):新しいDC
  3. server4(Windows Server 2008 R2):新しいDC

ログ

セキュリティログイベント: http://imgur.com/a/6cklL

server1からの2つのサンプルイベント:

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Audit Policy Changeイベントのサンプルserver3Audit Policy Changeもあります)変更が「追加された成功」とマークされたログ内のイベント):

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

試みられた解決策

  1. DNSエントリを修正しています。dcdiag /test:dnsserver1が降格された後、最初にエラーが返されました。たとえば、前方参照ゾーンに古いネームサーバーエントリがありました。最終的にDNSマネージャーを開いて問題のあるエントリを手動で削除し、LDAPとKerberosエントリが新しいサーバーを指すようにしました。たとえば、__ ldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_はserver3.mydomain.localを指します。
  2. nslookupを使用したDNSエントリの確認nslookup -type=srv _kerberos._udp.mydomain.localは、server3およびserver4のエントリを返します。server1については何も返しません。
  3. メタデータのクリーンアップ。説明に従ってntdsutilを使用してメタデータをクリーンアップした後 このTechNet記事ntdsutilコマンドlist servers in siteは2つのエントリのみを返しますが、どちらも問題ありません。
    1. 0-CN = SERVER4、CN = Servers、CN = Default-First-Site、CN = Sites、CN = Configuration、DC = mydomain、DC = local
    2. 1-CN = SERVER3、CN = Servers、CN = Default-First-Site、CN = Sites、CN = Configuration、DC = mydomain、DC = local
  4. Active Directoryサイトとサービスからserver1を削除しています。server1、それがActive Directoryサイトとサービスに残っていることに気付きましたが、グローバルカタログとしてリストされていません。 このMicrosoft KB記事 の指示に従って削除しました。
  5. 操作マスターの役割をserver3に転送しています。操作マスターの役割は私のケンを少し超えていますが、私は使用しましたntdsutilを使用して、今朝すべてをserver3に転送します。エラーはありませんでしたが、再起動とテストの結果、server1がまだすべての認証を実行していることがわかりました。
  6. DNSへの再登録と再起動netlogonフォーラムの投稿でipconfig /registerdnsおよびnet stop netlogon && net start netlogon新しいサーバーで、関連する問題を解決します。それは助けにならなかったようです。
  7. 新しいドメインコントローラでの優勝GPOが、ログオンおよびアカウントログオンイベントの監査を有効にすることを保証します。

その他のリード

  • 同じ問題が この一連のフォーラム投稿 で説明されています。解決策はありません。
  • Experts Exchangeに関するこの質問 にも記載されています。回答としてマークされたコメントは、「もしもDCでなければ、認証要求を処理する方法がまったくない」と書いています。それは私の反応でしょうが、 server1dcdiagを実行すると、server1はそれ自体をDCと見なさないことを確認します。それでもまだ唯一のサーバーです全員を認証します。

何が起きてる?

windows-server-2008active-directorywindows-server-2008-r2domain-controllerkerberos
10
Eric Eskildsen

それはファイルサーバーです-ユーザーはそれに接続してファイルにアクセスしていますか?それはおそらくあなたが見ているものです。それらはセキュリティログに表示されます。

懸念される動作を示しているserver1からいくつかのログエントリ(テキストダンプまたはスクリーンショット全体)を投稿します。

/編集-確認していただきありがとうございます。ログオンタイプ3は「ネットワーク」です。イベントをログに記録したコンピューター上の共有ファイルまたはプリンターにアクセスするときに最もよく見られます。

12
mfinni

降格されたDCは、ドメインログオンの認証を続行しません。表示されているのはlocalログオンイベントです。ドメイン資格情報を持つメンバーサーバーにログオンすると、ローカルでログオンイベントと、DCで対応する資格情報検証イベントが表示されます。

ローカルの資格情報を使用してメンバーサーバーにログオンすると、ローカルでログオンイベントが表示されますが、DCで資格情報の検証イベントは表示されません。

2
strongline