Der herabgestufte Domänencontroller authentifiziert weiterhin Benutzer

10

Warum authentifiziert ein herabgestufter Domänencontroller immer noch Benutzer?

Wenn sich Benutzer mit Domänenkonten an Arbeitsstationen anmelden, werden sie von diesem herabgestuften Domänencontroller authentifiziert. Das Sicherheitsprotokoll zeigt die Anmeldungen, Abmeldungen und speziellen Anmeldungen an. In den Sicherheitsprotokollen unserer neuen Domänencontroller werden einige Computeranmeldungen und -abmeldungen angezeigt, die jedoch nichts mit Domänenbenutzern zu tun haben.

Hintergrund

  1. server1 (Windows Server 2008): Kürzlich herabgestufter DC-Dateiserver
  2. Server3 (Windows Server 2008 R2): Neuer DC
  3. server4 (Windows Server 2008 R2): Neuer DC

Protokolle

Sicherheitsprotokollereignisse: http://imgur.com/a/6cklL .

Zwei Beispielereignisse von Server1 :

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Beispiel Audit - Richtlinienänderung Ereignis von server3 (es gibt auch Audit - Richtlinienänderung Ereignisse im Protokoll mit Änderungen markiert „Erfolg Added“):

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

Lösungsversuche

  1. DNS-Einträge korrigieren. dcdiag /test:dnsZuerst wurden Fehler zurückgegeben, nachdem Server1 herabgestuft wurde. In unseren Forward-Lookup-Zonen gab es beispielsweise veraltete Nameserver-Einträge. Am Ende habe ich den DNS-Manager geöffnet und die Problemeinträge manuell entfernt, um sicherzustellen, dass LDAP- und Kerberos-Einträge auf die neuen Server verweisen. Zum Beispiel zeigt __ldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_ auf server3.mydomain.local .
  2. Überprüfen von DNS-Einträgen mit nslookup. Gibtnslookup -type=srv _kerberos._udp.mydomain.local Einträge für Server3 und Server4 zurück - nichts über Server1 .
  3. Bereinigen von Metadaten. Nach der Verwendung ntdsutilzum Bereinigen von Metadaten wie in diesem TechNet-Artikel beschrieben gibt der ntdsutilBefehl list servers in sitenur zwei Einträge zurück, die beide in Ordnung aussehen:
    1. 0 - CN = SERVER4, CN = Server, CN = Standard-First-Site, CN = Sites, CN = Konfiguration, DC = Mydomain, DC = lokal
    2. 1 - CN = SERVER3, CN = Server, CN = Standard-First-Site, CN = Sites, CN = Konfiguration, DC = Mydomain, DC = lokal
  4. Löschen von Server1 von Active Directory-Standorten und -Diensten . Nach dem Herabstufen von server1 stellte ich fest, dass es in Active Directory-Sites und -Diensten verbleibt, obwohl es nicht mehr als globaler Katalog aufgeführt ist. Ich habe es gemäß den Anweisungen in diesem Microsoft KB-Artikel gelöscht .
  5. Übertragen von Operationsmaster-Rollen auf Server3 . Operations Master-Rollen sind etwas jenseits meines Wissens, aber ich habe ntdsutilsie heute Morgen alle auf Server3 übertragen . Es gab keine Fehler, aber Neustarts und Tests zeigten, dass Server1 immer noch die gesamte Authentifizierung durchführte.
  6. Erneutes Registrieren bei DNS und Neustarten der Netzanmeldung . Ein Forum Post vorschlug läuft ipconfig /registerdnsund net stop netlogon && net start netlogonauf den neuen Server ein verwandtes Problem zu beheben. Es schien nicht zu helfen.
  7. Stellen Sie sicher, dass das Gewinner-Gruppenrichtlinienobjekt auf den neuen Domänencontrollern die Überwachung auf Anmelde- und Kontoanmeldeereignisse ermöglicht.

Andere Leads

  • Das gleiche Problem wird in dieser Reihe von Forenbeiträgen beschrieben . Es gibt keine Lösung.
  • Es wird auch in dieser Frage auf Experts Exchange beschrieben . Der als Antwort gekennzeichnete Kommentar lautet: "Wenn der DC kein DC mehr ist, kann er auf keinen Fall Authentifizierungsanforderungen verarbeiten." Das wäre meine Reaktion, aber das Ausführen dcdiagauf Server1 bestätigt, dass Server1 sich nicht als DC betrachtet. Dennoch ist es immer noch der einzige Server, der alle authentifiziert.

Was ist denn hier los?

Eric Eskildsen
quelle

Antworten:

12

Es ist ein Dateiserver - stellen Benutzer eine Verbindung her, um Zugriff auf Dateien zu erhalten? Das ist wahrscheinlich was du siehst. Diese würden in den Sicherheitsprotokollen angezeigt.

Veröffentlichen Sie einige Protokolleinträge (in ihrer Gesamtheit - Textspeicherauszug oder Screenshot) von Server1, die das Verhalten anzeigen, über das Sie sich Sorgen machen.

/ Edit - Danke für die Bestätigung. Anmeldetyp 3 ist "Netzwerk". Wird am häufigsten beim Zugriff auf freigegebene Dateien oder Drucker auf dem Computer angezeigt, auf dem das Ereignis protokolliert wurde.

mfinni
quelle
Danke - Ich habe Screenshots der Sicherheitsprotokolle der Server hochgeladen, um sie in einer Bearbeitung zu bearbeiten. Anscheinend habe ich nicht genug Ruf, um Bilder hochzuladen, daher ist der Link im Text geschrieben.
Eric Eskildsen
Das Seltsame für mich ist, dass nur Server1 etwas über An- und Abmeldungen protokolliert. Ich bin damit einverstanden, dass diese auf einem Dateiserver angezeigt werden, aber protokollieren DCs sie nicht, wenn Benutzer authentifiziert werden?
Eric Eskildsen
1
Bitte protokollieren Sie die Einträge vollständig. Zeigen Sie das tatsächliche Protokollereignis mit dem gesamten Text und nicht mit einer Liste aller Protokolleinträge von Server1 an.
Mfinni
3
Kurzer Kommentar für alle Leser mit dem Problem, dass neue Domänencontroller keine Überwachungsereignisse protokollieren: Es stellt sich heraus, dass beschädigte audit.csv-Dateien die hier beschriebenen Gruppenrichtlinien-Überwachungseinstellungen überschrieben haben . Nach dem Löschen der CSV-Dateien und dem Ausführen auditpol /clearund gpupdate /forceauf den neuen Domänencontrollern funktioniert alles. Ich schulde @mfinni, dass er mich in Richtung der GPO-Überwachungseinstellungen gezeigt hat, als ich bei der Fehlerbehebung auf allen Arten von Verfolgungsjagden mit wilden Gänsen war!
Eric Eskildsen
1
Hört sich gut an - ich bin froh, dass du das geschafft hast. Sie sollten auf jeden Fall etwas Zeit damit verbringen, sich über die Pflege und Fütterung von Domänencontrollern, Best Practices usw. zu informieren. MS bietet auch viele gute Artikel und Schulungen an.
Mfinni
2

Ein herabgestufter Domänencontroller authentifiziert in keiner Weise weiterhin Domänenanmeldungen. Was Sie sehen, sind lokale Anmeldeereignisse. Wenn Sie sich bei einem Mitgliedsserver mit Domänenanmeldeinformationen anmelden, werden Anmeldeereignisse lokal sowie entsprechende Überprüfungsereignisse für Anmeldeinformationen in DC angezeigt.

Wenn Sie sich mit lokalen Anmeldeinformationen beim Mitgliedsserver anmelden, werden Anmeldeereignisse weiterhin lokal angezeigt, jedoch keine Überprüfungsereignisse für Anmeldeinformationen in DC.

starke Linie
quelle
1
Genau richtig - es stellte sich heraus, dass der herabgestufte Domänencontroller die Authentifizierung nur für Dateifreigaben protokollierte. Was mich verwirrt war , dass die neuen DCs wurden keine Authentifizierung Protokollierung von Ereignissen überhaupt . Das Problem bestand schließlich darin, dass die audit.csv- Dateien auf den neuen Domänencontrollern beschädigt waren. Durch Befolgen der Anweisungen zum Löschen dieser Dateien in diesen TechNet-Posts wurde dies jedoch behoben.
Eric Eskildsen