Controlador de domínio rebaixado ainda autenticando usuários


10

Por que um controlador de domínio rebaixado ainda está autenticando usuários?

Sempre que os usuários fazem logon em estações de trabalho com contas de domínio, esse controlador de domínio rebaixado os autentica. Seu log de segurança mostra logons, logoffs e logons especiais. Os logs de segurança de nossos novos controladores de domínio mostram alguns logons e logoffs da máquina, mas nada a ver com os usuários do domínio.

fundo

  1. server1 (Windows Server 2008): DC, servidor de arquivos recentemente rebaixado
  2. server3 (Windows Server 2008 R2): novo controlador de domínio
  3. server4 (Windows Server 2008 R2): novo controlador de domínio

Histórico

Eventos de log de segurança: http://imgur.com/a/6cklL .

Dois eventos de amostra do server1 :

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Exemplo de evento de Alteração da política de auditoria do server3 (também há eventos de Alteração da política de auditoria no log com as alterações marcadas "Sucesso adicionado"):

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

Tentativas de soluções

  1. Corrigindo entradas DNS. dcdiag /test:dnsa princípio retornou erros depois que o servidor1 foi rebaixado. Havia entradas desatualizadas do servidor de nomes em nossas zonas de pesquisa direta, por exemplo. Acabei abrindo o Gerenciador DNS e removendo as entradas do problema manualmente, garantindo também que as entradas LDAP e Kerberos apontassem para os novos servidores. Por exemplo, __ldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_ aponta para server3.mydomain.local .
  2. Verificando entradas DNS com nslookup. nslookup -type=srv _kerberos._udp.mydomain.localretorna entradas para server3 e Server4 -nada sobre server1 .
  3. Limpando Metadados. Depois de usar ntdsutilpara limpar os metadados, conforme descrito neste artigo do TechNet , o ntdsutilcomando list servers in siteretorna apenas duas entradas, que parecem OK:
    1. 0 - CN = SERVER4, CN = Servidores, CN = Primeiro Site Padrão, CN = Sites, CN = Configuração, DC = meu domínio, DC = local
    2. 1 - CN = SERVIDOR3, CN = Servidores, CN = Primeiro Site Padrão, CN = Sites, CN = Configuração, DC = meu domínio, DC = local
  4. Excluindo server1 dos Serviços e Sites do Active Directory. Após rebaixar o server1 , notei que ele permanecia nos Serviços e Sites do Active Directory, embora não estivesse mais listado como um catálogo global. Excluí-o de acordo com as instruções deste artigo da Microsoft KB .
  5. Transferindo funções de mestre de operações para o servidor3 . As funções de mestre de operações estão um pouco além do meu conhecimento, mas eu costumava ntdsutiltransferi-las para o server3 esta manhã. Não houve erros, mas as reinicializações e testes mostraram que o server1 ainda estava fazendo toda a autenticação.
  6. Registrando novamente com o DNS e reiniciando o logon de rede . Uma postagem no fórum sugeria a execução ipconfig /registerdnse net stop netlogon && net start netlogonnos novos servidores para resolver um problema relacionado. Não pareceu ajudar.
  7. Garantir que o GPO vencedor nos novos controladores de domínio permita a auditoria de eventos de logon e logon de conta.

Outros leads

  • O mesmo problema é descrito nesta série de postagens no fórum . Não há resolução.
  • Também está descrito nesta pergunta no Exchange de Especialistas . O comentário marcado como resposta diz: "Se o seu [sic] não é mais um controlador de domínio, não há como ele processar qualquer solicitação de autenticação". Essa seria a minha reação, mas rodar dcdiagno servidor1 confirma que o servidor1 não se considera um controlador de domínio. No entanto, ainda é o único servidor que autentica todos.

O que está acontecendo aqui?

Respostas:


12

É um servidor de arquivos - os usuários estão se conectando a ele para obter acesso aos arquivos? Provavelmente é o que você está vendo. Esses apareceriam nos logs de segurança.

Poste algumas entradas de log (na íntegra - despejo de texto ou captura de tela) do server1 que mostra o comportamento do qual você está preocupado.

/ Edit - Obrigado por confirmar. Tipo de logon 3 é "Rede". É visto com mais freqüência ao acessar arquivos ou impressoras compartilhadas no computador que registrou o evento.


Obrigado - enviei capturas de tela dos logs de segurança dos servidores para imgur em uma edição. Aparentemente, não tenho reputação suficiente para enviar imagens, então o link está escrito em texto.
Eric Eskildsen 31/03

O estranho para mim é que apenas o server1 registra algo sobre logons e logoffs. Concordo que eles devem aparecer em um servidor de arquivos, mas os DCs não os registram quando os usuários são autenticados?
Eric Eskildsen 31/03

1
Entradas de registro em sua totalidade, por favor. Mostrar o evento de log real com todo o texto, não uma lista de todas as entradas de log, do servidor1.
mfinni

3
Comentário rápido para qualquer leitor com o problema de novos DCs não registrarem eventos de auditoria: Acontece que os arquivos audit.csv corrompidos estavam substituindo as configurações de auditoria da Diretiva de Grupo, conforme descrito aqui . Após excluir os arquivos CSV e executar auditpol /cleare gpupdate /forcenos novos DCs, tudo está funcionando. Eu devo à @mfinni por me indicar a direção das configurações de auditoria do GPO quando estava em todos os tipos de perseguições na solução de problemas!
Eric Eskildsen 31/03

1
Parece bom - feliz que você tenha entendido isso. Definitivamente, você desejará gastar algum tempo lendo sobre os cuidados e a alimentação dos controladores de domínio, práticas recomendadas etc. O MS também oferece muitos artigos e treinamentos bons.
Mllni

2

Um controlador de domínio rebaixado não continuará de forma alguma a autenticar logons de domínio. O que você está vendo são eventos de logon local . Ao fazer logon em um servidor membro com credencial de domínio, você verá eventos de logon localmente, além dos eventos de validação de credencial correspondentes no DC.

Quando você faz logon no servidor membro com credencial local, ainda vê eventos de logon localmente, mas não vê nenhum evento de validação de credencial no DC.


1
Exatamente certo - o CD rebaixado estava registrando a autenticação apenas para compartilhamentos de arquivos. O que me confundiu foi que os novos DCs não estavam registrando eventos de autenticação em tudo . O problema acabou sendo que os arquivos audit.csv nos novos controladores de domínio estavam corrompidos, mas as instruções para excluir esses arquivos nessas postagens do TechNet resolveram isso.
Eric Eskildsen
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.