windows-server-2008 – 降级域控制器仍在验证用户

为什么降级域控制器仍在对用户进行身份验证？

每当用户使用域帐户登录工作站时,此降级DC会对其进行身份验证.其安全日志显示其登录,注销和特殊登录.我们新的DC的安全日志显示了一些机器登录和注销,但与域用户无关.

背景

> server1(Windows Server 2008)：最近降级的DC,文件服务器
> server3(Windows Server 2008 R2)：新DC
> server4(Windows Server 2008 R2)：新DC

日志

安全日志事件：http://imgur.com/a/6cklL.

来自server1的两个示例事件：

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

来自server3的示例审核策略更改事件(日志中还有审核策略更改事件,其中更改标记为“已成功添加”)：

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

试图解决方案

>修复DNS条目. dcdiag / test：在server1降级后,dns首先返回错误.例如,我们的正向查找区域中存在过时的名称服务器条目.我最终打开DNS管理器并手动删除问题条目,同时确保LDAP和Kerberos条目指向新服务器.例如,__ oldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_指向server3.mydomain.local.
>使用nslookup验证DNS条目. nslookup -type = srv _kerberos._udp.mydomain.local返回server3和server4的条目 – 没有关于server1的条目.
>清理元数据.使用ntdsutil按照in this TechNet article所述清理元数据后,站点中的ntdsutil命令列表服务器只返回两个条目,这两个条目看起来都正常：

> 0 – CN = SERVER4,CN =服务器,CN =默认 – 第一站点,CN =站点,CN =配置,DC = mydomain,DC =本地
> 1 – CN = SERVER3,DC =本地

>从Active Directory站点和服务中删除server1.在降级server1之后,我注意到它仍然存在于Active Directory站点和服务中,尽管它不再列为全局编录.我按照this Microsoft KB article中的说明删除了它.
>将操作主机角色转移到server3.操作主机角色有点超出我的想法,但今天早上我使用ntdsutil将它们全部传输到server3.没有错误,但重新启动和测试显示server1仍在进行所有身份验证.
>重新注册DNS并重新启动netlogon.一篇论坛帖子建议运行ipconfig / registerdns和net stop netlogon&& net start netlogon在新服务器上解决相关问题.它似乎没有帮助.
>确保新域控制器上的获胜GPO可以启用对登录和帐户登录事件的审核.

其他潜在客户

>在this series of forum posts中描述了同样的问题.没有解决方案.
>它也在0700中描述.标记为答案的评论写道：“如果它的[原文如此]不再是DC,那么它就无法处理任何认证请求.”这将是我的反应,但在server1上运行dcdiag确认server1不认为自己是DC.然而,它仍然是唯一验证每个人的服务器.

这里发生了什么？

从server1发布一些日志条目(完整地 – 文本转储或屏幕截图),显示您关注的行为.

/编辑 – 感谢您的确认.登录类型3是“网络”.最常见的是访问记录事件的计算机上的共享文件或打印机.

（编辑：ASP站长网）