降级的域控制器仍在对用户进行身份验证

Question

为什么降级的域控制器仍在对用户进行身份验证？

每当用户使用域帐户登录工作站时，此降级 DC 都会对其进行身份验证。它的安全日志显示他们的登录、注销和特殊登录。我们的新 DC 的安全日志显示了一些机器登录和注销，但与域用户无关。

背景

1. server1 (Windows Server 2008)：最近降级的 DC，文件服务器
2. server3 (Windows Server 2008 R2)：新 DC
3. server4 (Windows Server 2008 R2)：新 DC

日志

安全日志事件：http : //imgur.com/a/6cklL。

来自server1 的两个示例事件：

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

来自server3 的示例审核策略更改事件（日志中还有审核策略更改事件，更改标记为“已添加成功”）：

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

尝试的解决方案

1. 修复 DNS 条目。 dcdiag /test:dns在server1降级后首先返回错误。例如，在我们的正向查找区域中有过时的名称服务器条目。我最终打开 DNS 管理器并手动删除问题条目，同时确保 LDAP 和 Kerberos 条目指向新服务器。例如， __ldap.Default-First-Site.__sites.dc.__msdcs.mydomain.local_ 指向server3.mydomain.local。
2. 使用nslookup. nslookup -type=srv _kerberos._udp.mydomain.local返回条目服务器3和服务器4什么也没有关于server1的。
3. 清理元数据。使用此 TechNet 文章中ntdsutil所述清理元数据后，该命令仅返回两个条目，这两个条目看起来都不错： ntdsutillist servers in site
   1. 0 - CN=SERVER4,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=mydomain,DC=local
   2. 1 - CN=SERVER3,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=mydomain,DC=local
4. 从 Active Directory 站点和服务中删除server1。降级server1 后，我注意到它仍然在 Active Directory 站点和服务中，尽管它不再列为全局目录。我根据这篇 Microsoft KB 文章中的说明删除了它。
5. 将操作主机角色转移到server3。Operations master 角色有点超出我的理解，但我曾经ntdsutil在今天早上将它们全部转移到server3。没有错误，但重新启动和测试表明server1仍在进行所有身份验证。
6. 重新注册 DNS 并重新启动netlogon。论坛帖子建议在新服务器上运行ipconfig /registerdns和net stop netlogon && net start netlogon解决相关问题。它似乎没有帮助。
7. 确保新域控制器上的获胜 GPO 启用对登录和帐户登录事件的审核。

其他线索

• 本系列论坛帖子中描述了相同的问题。没有解决办法。
• 在 Experts Exchange 上的这个问题中也有描述。标记为答案的评论写道：“如果它的 [原文如此] 不再是 DC，那么它就无法处理任何身份验证请求。” 那将是我的反应，但dcdiag在server1 上运行确认server1不认为自己是 DC。然而，它仍然是唯一对每个人进行身份验证的服务器。

这里发生了什么？

Answer 1

它是一个文件服务器 - 用户是否连接到它来访问文件？这很可能是你所看到的。这些将显示在安全日志中。

从 server1 发布一些日志条目（完整的 - 文本转储或屏幕截图），显示您关注的行为。

/编辑 - 感谢您的确认。登录类型 3 是“网络”。在记录事件的计算机上访问共享文件或打印机时最常见。