डिमोटेड डोमेन कंट्रोलर अभी भी उपयोगकर्ताओं को प्रमाणित कर रहा है

एक डीमैट डोमेन नियंत्रक अभी भी उपयोगकर्ताओं को प्रमाणित क्यों कर रहा है?

जब भी उपयोगकर्ता डोमेन खातों के साथ वर्कस्टेशन पर लॉग इन करते हैं, तो यह डीमोटेड डीसी उन्हें प्रमाणित करता है। इसका सुरक्षा लॉग उनके लॉगऑन, लॉगऑफ़ और विशेष लॉगऑन दिखाता है। हमारे नए डीसी सुरक्षा लॉग कुछ मशीन लॉगऑन और लॉगऑफ़ दिखाते हैं, लेकिन डोमेन उपयोगकर्ताओं के साथ कुछ नहीं करना है।

पृष्ठभूमि

server1 (विंडोज सर्वर 2008): हाल ही में डीमोटेड डीसी, फ़ाइल सर्वर
server3 (विंडोज सर्वर 2008 R2): नया डीसी
server4 (विंडोज सर्वर 2008 R2): नया डीसी

लॉग्स

सुरक्षा के लिए लॉग घटनाक्रम: http://imgur.com/a/6cklL ।

Server1 से दो नमूना घटनाओं :

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

नमूना ऑडिट नीति सर्वर 3 से ईवेंट बदलें ( "सफलता जोड़े गए" चिह्नित परिवर्तनों के साथ लॉग में ऑडिट पॉलिसी बदलें ईवेंट भी हैं :)

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

समाधान का प्रयास किया

DNS प्रविष्टियों को ठीक करना। सर्वर 1 के डिमोट किएdcdiag /test:dns जाने के बाद पहली बार दी गई त्रुटियां । उदाहरण के लिए, हमारे फ़ॉरवर्ड लुकिंग ज़ोन में पुराने नाम सर्वर प्रविष्टियाँ थीं। मैंने DNS प्रबंधक खोलने और समस्या प्रविष्टियों को मैन्युअल रूप से हटाने का काम किया, यह भी सुनिश्चित किया कि LDAP और Kerberos प्रविष्टियाँ नए सर्वरों को इंगित करें। उदाहरण के लिए, __ldap.Default-First-site .__ sites.dc .__ msdcs.mydomain.local_ server3.mydomain.local को इंगित करता है ।
के साथ DNS प्रविष्टियों का सत्यापन nslookup। Server3 और server4 केnslookup -type=srv _kerberos._udp.mydomain.local लिए प्रविष्टियाँ देता है- server1 के बारे में सुखद ।
मेटाडेटा की सफाई। इस TechNet आलेख मेंntdsutil वर्णित मेटाडेटा को साफ़ करने के लिए उपयोग करने के बाद , कमांड केवल दो प्रविष्टियाँ लौटाता है, जो दोनों ठीक दिखते हैं: ntdsutillist servers in site
1. 0 - CN = SERVER4, CN = सर्वर, CN = डिफ़ॉल्ट-प्रथम-साइट, CN = साइटें, CN = कॉन्फ़िगरेशन, DC = mydomain, DC = स्थानीय
2. 1 - CN = SERVER3, CN = सर्वर, CN = डिफ़ॉल्ट-प्रथम-साइट, CN = साइटें, CN = कॉन्फ़िगरेशन, DC = mydomain, DC = स्थानीय
Server1 को सक्रिय निर्देशिका साइटों और सेवाओं से हटाना । Server1 को डिमोट करने के बाद , मैंने देखा कि यह एक्टिव डायरेक्ट्री साइट्स और सर्विसेज में बना रहा, हालाँकि इसे अब वैश्विक कैटलॉग के रूप में सूचीबद्ध नहीं किया गया था। मैंने इसे Microsoft KB आलेख के निर्देशों के अनुसार हटा दिया है ।
सर्वर 3 में ऑपरेशन मास्टर भूमिका स्थानांतरित करना । ऑपरेशन मास्टर भूमिकाएं मेरे केन से थोड़ा परे हैं, लेकिन मैं आज सुबह सर्वर 3 मेंntdsutil उन सभी को स्थानांतरित कर देता था । कोई त्रुटि नहीं थी, लेकिन रिबूट और परीक्षण से पता चला कि सर्वर 1 अभी भी सभी प्रमाणीकरण कर रहा था।
डीएनएस के साथ रिग्रिस्टरिंग और नेटलॉगन को फिर से शुरू करना । एक मंच पोस्ट चल सुझाव दिया ipconfig /registerdnsऔर net stop netlogon && net start netlogonनए सर्वर पर एक संबंधित समस्या को हल करने के लिए। यह मदद करने के लिए प्रतीत नहीं हुआ।
यह सुनिश्चित करना कि नए डोमेन नियंत्रकों पर जीपीओ लॉगऑन और खाता लॉगऑन घटनाओं के लिए ऑडिटिंग सक्षम करता है।

अन्य बिक्रीसूत्र

फोरम पोस्ट की इस श्रृंखला में इसी समस्या का वर्णन किया गया है । कोई संकल्प नहीं है।
एक्सपर्ट्स एक्सचेंज में इस सवाल का भी वर्णन किया गया है । उत्तर के रूप में चिह्नित टिप्पणी पढ़ती है, "यदि इसकी [sic] अब DC नहीं है, तो कोई भी तरीका नहीं है जो किसी भी प्रमाणीकरण अनुरोध को संसाधित कर सकता है।" यह मेरी प्रतिक्रिया होगी, लेकिन सर्वर 1dcdiag पर चलने से पुष्टि होती है कि सर्वर 1 खुद को डीसी नहीं मानता है। फिर भी यह अभी भी हर व्यक्ति को प्रमाणित करने वाला एकमात्र सर्वर है।

यहाँ क्या चल रहा है?

— एरिक एस्किल्डसन
स्रोत

जवाबों:

यह एक फ़ाइल सर्वर है - क्या उपयोगकर्ता फ़ाइलों तक पहुंच प्राप्त करने के लिए इसे कनेक्ट कर रहे हैं? यह संभव है कि आप क्या देख रहे हैं। जिन्हें सुरक्षा लॉग में दिखाया जाएगा।

सर्वर लॉग से कुछ लॉग एंट्रीज (उनकी संपूर्णता - टेक्स्ट डंप या स्क्रीनशॉट में) पोस्ट करें जो आपके द्वारा चिंतित व्यवहार को दिखा रहा है।

/ संपादित करें - पुष्टि करने के लिए धन्यवाद। लॉगऑन टाइप 3 "नेटवर्क" है। इवेंट लॉग करने वाले कंप्यूटर पर साझा फ़ाइलों या प्रिंटर तक पहुंचते समय अक्सर देखा जाता है।

— mfinni
स्रोत

धन्यवाद- मैंने एक संपादन में सर्वर सुरक्षा लॉग के स्क्रीनशॉट अपलोड करने के लिए अपलोड किए। जाहिरा तौर पर मैं छवियों को अपलोड करने के लिए पर्याप्त प्रतिष्ठा नहीं है, इसलिए लिंक पाठ में वर्तनी है।

— एरिक एस्सिल्डसन

मेरे लिए अजीब बात यह है कि केवल है server1 लॉग ऑन को और logoffs बारे में कुछ भी लॉग करता है। मैं इस बात से सहमत हूं कि उन लोगों को एक फ़ाइल सर्वर पर दिखाना चाहिए, लेकिन जब उपयोगकर्ता प्रमाणित हो जाते हैं तो क्या डीसी उन्हें लॉग इन नहीं करते हैं?

— एरिक एस्सिल्डसन

कृपया संपूर्णता में प्रविष्टियाँ दर्ज करें। सभी पाठ प्रविष्टियों के साथ वास्तविक लॉग ईवेंट दिखाएं, सर्वर 1 से सभी लॉग प्रविष्टियों की सूची नहीं।

— mfinni

नए डीसी की समस्या के साथ किसी भी पाठक के लिए त्वरित टिप्पणी, ऑडिट घटनाओं को लॉग नहीं कर रही है: यह पता चलता है कि भ्रष्ट ऑडिट.एससीवी फाइलें यहां वर्णित के अनुसार समूह नीति ऑडिट सेटिंग्स को ओवरराइड कर रही थीं । CSV फ़ाइलों को हटाने और चलाने के बाद auditpol /clearऔर gpupdate /forceनए DC पर, सभी काम कर रहा है। जब मैं समस्या निवारण में सभी प्रकार के जंगली हंस पीछा कर रहा था, तो मुझे GPO ऑडिट सेटिंग्स की दिशा में इंगित करने के लिए @mfinni पर बकाया है!

— एरिक एस्किल्डसन

अच्छा लगता है - ख़ुशी है कि आपको वह मिल गया। आप निश्चित रूप से डोमेन नियंत्रकों, सर्वोत्तम प्रथाओं आदि की देखभाल और खिलाने पर कुछ समय बिताना चाहते हैं, एमएस में बहुत सारे अच्छे लेख और प्रशिक्षण उपलब्ध हैं, भी।

— एमफिनि

एक डीमैट डीसी किसी भी तरह से डोमेन लॉगऑन को प्रमाणित करने के लिए जारी नहीं रहेगा। आप जो देख रहे हैं वह स्थानीय लॉगऑन ईवेंट है। जब आप किसी सदस्य सर्वर w / डोमेन क्रेडेंशियल पर लॉग ऑन करते हैं, तो आप स्थानीय रूप से लॉगऑन ईवेंट देखेंगे, साथ ही DC पर संबंधित क्रेडेंशियल सत्यापन ईवेंट।

जब आप सदस्य सर्वर पर स्थानीय क्रेडेंशियल के साथ लॉग ऑन करते हैं, तो आप अभी भी लॉगऑन इवेंट्स को स्थानीय रूप से देखते हैं, लेकिन डीसी पर कोई क्रेडेंशियल सत्यापन इवेंट नहीं देखेंगे।

— strongline
स्रोत

बिल्कुल सही-यह पता चला है कि डीमैट डीसी केवल फाइल शेयरों के लिए प्रमाणीकरण लॉग कर रहा था। मुझे क्या उलझन थी कि नए डीसी प्रमाणीकरण घटनाओं को लॉग नहीं कर रहे थे को । समस्या यह हो रही है कि नए डोमेन नियंत्रकों पर ऑडिट .csv फाइलें भ्रष्ट थीं, लेकिन इन TechNet पोस्टों में उन फ़ाइलों को हटाने के निर्देशों का पालन करने से इसका समाधान हो गया।

— एरिक एस्सिल्डसन 19