Por que um controlador de domínio rebaixado ainda está autenticando usuários?

Sempre que os usuários fazem logon em estações de trabalho com contas de domínio, esse DC rebaixado os autentica. Seu log de segurança mostra seus logons, logoffs e logons especiais. Os registros de segurança de nossos novos DCs mostram alguns logons e logoffs de máquinas, mas nada a ver com usuários de domínio.

Antecedentes

1. server1 (Windows Server 2008): DC recentemente rebaixado, servidor de arquivos
2. server3 (Windows Server 2008 R2): Novo DC
3. server4 (Windows Server 2008 R2): Novo DC

Registros

Eventos de registro de segurança: link .

Dois exemplos de eventos de server1 :

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Exemplo de evento de alteração de política de auditoria de server3 (há também eventos de alteração de política de auditoria no log com alterações marcadas como "sucesso adicionado") :

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

Soluções tentadas

1. Corrigindo entradas de DNS. dcdiag /test:dns no início retornou erros depois que server1 foi rebaixado. Havia entradas desatualizadas do servidor de nomes em nossas zonas de pesquisa direta, por exemplo. Acabei abrindo o DNS Manager e removendo as entradas do problema manualmente, garantindo também que as entradas LDAP e Kerberos apontassem para os novos servidores. Por exemplo, __ldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_ aponta para server3.mydomain.local .
2. A verificação de entradas de DNS com nslookup . nslookup -type=srv _kerberos._udp.mydomain.local retorna entradas para server3 e server4 - nada sobre server1 .
3. Limpando metadados. Depois de usar ntdsutil para limpar os metadados, conforme descrito neste artigo do TechNet , o ntdsutil command list servers in site retorna apenas duas entradas, que parecem estar corretas:
   1. 0 - CN = SERVIDOR4, CN = Servidores, CN = Padrão-Primeiro-Site, CN = Sites, CN = Configuração, DC = meudominio, DC = local
   2. 1 - CN = SERVIDOR3, CN = Servidores, CN = Padrão-Primeiro-Site, CN = Sites, CN = Configuração, DC = meudominio, DC = local
4. Excluindo server1 dos Serviços e Sites do Active Directory. Depois de rebaixar server1 , notei que ele permaneceu nos Serviços e Sites do Active Directory, embora não fosse mais listado como um catálogo global. Excluímo-lo de acordo com as instruções do artigo da base de conhecimento da Microsoft .
5. Transferir funções de mestre de operações para server3 . As funções de mestre de operações estão um pouco além do meu ken, mas usei ntdsutil para transferi-las para server3 esta manhã. Não houve erros, mas reinicializações e testes mostraram que server1 ainda estava fazendo toda a autenticação.
6. Registrando-se novamente com o DNS e reiniciando netlogon . Uma postagem no fórum sugeriu a execução de ipconfig /registerdns e net stop netlogon && net start netlogon nos novos servidores para resolver um problema relacionado. Não parece ajudar.
7. Garantir que o GPO vencedor nos novos controladores de domínio permita a auditoria de eventos de logon e logon de contas.

Outros leads

• O mesmo problema é descrito em esta série de posts no fórum . Não há resolução.
• Também é descrito em esta pergunta no Experts Exchange . O comentário marcado como uma resposta diz: "Se o seu [sic] não for um DC, não há como processar solicitações de autenticação." Essa seria minha reação, mas executar dcdiag em server1 confirma que server1 não se considera um DC. No entanto, ainda é o único servidor que autentica todo mundo.

O que está acontecendo aqui?