Por que um controlador de domínio rebaixado ainda está autenticando usuários?
Sempre que os usuários fazem logon em estações de trabalho com contas de domínio, esse DC rebaixado os autentica. Seu log de segurança mostra seus logons, logoffs e logons especiais. Os registros de segurança de nossos novos DCs mostram alguns logons e logoffs de máquinas, mas nada a ver com usuários de domínio.
Antecedentes
-
server1 (Windows Server 2008): DC recentemente rebaixado, servidor de arquivos
-
server3 (Windows Server 2008 R2): Novo DC
-
server4 (Windows Server 2008 R2): Novo DC
Registros
Eventos de registro de segurança: link .
Dois exemplos de eventos de server1 :
Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: MYDOMAIN\auser
Account Name: auser
Account Domain: MYDOMAIN
Logon ID: 0x8b792ce
Logon GUID: {54063226-E9B7-D357-AD58-546793C9CA59}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: 192.168.20.143
Source Port: 52834
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
[ ... ]
Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: MYDOMAIN\anotheruser
Account Name: anotheruser
Account Domain: MYDOMAIN
Logon ID: 0x8b74ea5
Logon GUID: {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: 192.168.20.203
Source Port: 53027
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Exemplo de evento de alteração de política de auditoria de server3 (há também eventos de alteração de política de auditoria no log com alterações marcadas como "sucesso adicionado") :
System audit policy was changed.
Subject:
Security ID: SYSTEM
Account Name: SERVER3$
Account Domain: MYDOMAIN
Logon ID: 0x3e7
Audit Policy Change:
Category: Account Logon
Subcategory: Kerberos Authentication Service
Subcategory GUID: {0cce9242-69ae-11d9-bed3-505054503030}
Changes: Success removed
Soluções tentadas
-
Corrigindo entradas de DNS.
dcdiag /test:dns
no início retornou erros depois que server1 foi rebaixado. Havia entradas desatualizadas do servidor de nomes em nossas zonas de pesquisa direta, por exemplo. Acabei abrindo o DNS Manager e removendo as entradas do problema manualmente, garantindo também que as entradas LDAP e Kerberos apontassem para os novos servidores. Por exemplo, __ldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_ aponta para server3.mydomain.local .
-
A verificação de entradas de DNS com
nslookup
. nslookup -type=srv _kerberos._udp.mydomain.local
retorna entradas para server3 e server4 - nada sobre server1 .
-
Limpando metadados. Depois de usar
ntdsutil
para limpar os metadados, conforme descrito neste artigo do TechNet , o ntdsutil
command list servers in site
retorna apenas duas entradas, que parecem estar corretas:
- 0 - CN = SERVIDOR4, CN = Servidores, CN = Padrão-Primeiro-Site, CN = Sites, CN = Configuração, DC = meudominio, DC = local
- 1 - CN = SERVIDOR3, CN = Servidores, CN = Padrão-Primeiro-Site, CN = Sites, CN = Configuração, DC = meudominio, DC = local
-
Excluindo server1 dos Serviços e Sites do Active Directory. Depois de rebaixar server1 , notei que ele permaneceu nos Serviços e Sites do Active Directory, embora não fosse mais listado como um catálogo global. Excluímo-lo de acordo com as instruções do artigo da base de conhecimento da Microsoft .
-
Transferir funções de mestre de operações para server3 . As funções de mestre de operações estão um pouco além do meu ken, mas usei
ntdsutil
para transferi-las para server3 esta manhã. Não houve erros, mas reinicializações e testes mostraram que server1 ainda estava fazendo toda a autenticação.
-
Registrando-se novamente com o DNS e reiniciando netlogon . Uma postagem no fórum sugeriu a execução de
ipconfig /registerdns
e net stop netlogon && net start netlogon
nos novos servidores para resolver um problema relacionado. Não parece ajudar.
- Garantir que o GPO vencedor nos novos controladores de domínio permita a auditoria de eventos de logon e logon de contas.
Outros leads
- O mesmo problema é descrito em esta série de posts no fórum . Não há resolução.
- Também é descrito em esta pergunta no Experts Exchange . O comentário marcado como uma resposta diz: "Se o seu [sic] não for um DC, não há como processar solicitações de autenticação." Essa seria minha reação, mas executar
dcdiag
em server1 confirma que server1 não se considera um DC. No entanto, ainda é o único servidor que autentica todo mundo.
O que está acontecendo aqui?