0 login active-directory kerberos
在身份验证方面需要一些帮助。在我们的日志中注意到 user1 有大量的 Kerberos 预身份验证失败。用户 1 的密码错误。但是,当我更仔细地查看日志时,我对这些事件感到有些困惑。
User1 正在针对 DC2 进行身份验证。我看到 DC2 对 User1 的 DC1 进行了第二次身份验证尝试。DC1 和 DC2 属于遏制领域。为什么身份验证从 DC2 到 DC1?为什么 DC2 上没有进行身份验证?
大概 DC1 是拥有 PDCemulator FSMO 角色的域控制器。因此,在每次错误的密码尝试时,验证域控制器都会在登录失败之前检查 PDCe。
之所以如此,是因为当用户更改密码时,会触发特殊的复制。处理密码更改的 DC 通知 PDCe 密码已在正常通知/复制周期之外更改。然后,DC 按照正常的复制周期继续将密码复制到其所有合作伙伴。
因此,因为几乎总是会通知 PDCe(几乎立即)密码更改,如果用户提交错误密码,域控制器几乎总是在 DC 密码过期的情况下检查 PDCe哈希。
| 归档时间: |
|
| 查看次数: |
113 次 |
| 最近记录: |