কেন কোনও অনুন্নত ডোমেন নিয়ামক এখনও ব্যবহারকারীদের প্রমাণীকরণ করছেন?
ব্যবহারকারীরা যখনই ডোমেন অ্যাকাউন্টগুলির সাহায্যে ওয়ার্কস্টেশনগুলিতে লগইন করেন, এই অনুন্নত ডিসি তাদের অনুমোদন দেয়। এর সুরক্ষা লগটি তাদের লগন, লগঅফ এবং বিশেষ লগন দেখায়। আমাদের নতুন ডিসিগুলির সুরক্ষা লগগুলি কিছু মেশিন লগন এবং লগঅফ দেখায় তবে ডোমেন ব্যবহারকারীদের সাথে কিছুই করার থাকে না।
পটভূমি
- সার্ভার 1 (উইন্ডোজ সার্ভার ২০০৮): সম্প্রতি ডিসি, ফাইল সার্ভারকে হ্রাস করা
- সার্ভার 3 (উইন্ডোজ সার্ভার 2008 আর 2): নতুন ডিসি
- সার্ভার 4 (উইন্ডোজ সার্ভার 2008 আর 2): নতুন ডিসি
লগ
সুরক্ষা লগ ইভেন্টগুলি: http://imgur.com/a/6cklL ।
সার্ভার 1 থেকে দুটি নমুনা ইভেন্ট :
Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: MYDOMAIN\auser
Account Name: auser
Account Domain: MYDOMAIN
Logon ID: 0x8b792ce
Logon GUID: {54063226-E9B7-D357-AD58-546793C9CA59}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: 192.168.20.143
Source Port: 52834
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
[ ... ]
Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: MYDOMAIN\anotheruser
Account Name: anotheruser
Account Domain: MYDOMAIN
Logon ID: 0x8b74ea5
Logon GUID: {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: 192.168.20.203
Source Port: 53027
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
সার্ভার 3 থেকে নমুনা নিরীক্ষণ নীতি পরিবর্তন ইভেন্ট ( "সাফল্য যুক্ত করা হয়েছে" চিহ্নিত চিহ্ন হিসাবে লগের ইভেন্ট অডিট নীতিমালাও রয়েছে ):
System audit policy was changed.
Subject:
Security ID: SYSTEM
Account Name: SERVER3$
Account Domain: MYDOMAIN
Logon ID: 0x3e7
Audit Policy Change:
Category: Account Logon
Subcategory: Kerberos Authentication Service
Subcategory GUID: {0cce9242-69ae-11d9-bed3-505054503030}
Changes: Success removed
সমাধানের চেষ্টা করা
- ডিএনএস এন্ট্রি ঠিক করা। সার্ভার 1 কে কমিয়ে দেওয়ার
dcdiag /test:dnsপরে প্রথমে ত্রুটিগুলি ফিরে আসে । উদাহরণস্বরূপ, আমাদের সামনের ফোকাস জোনগুলিতে পুরানো নাম সার্ভার এন্ট্রি ছিল। আমি ডিএনএস ম্যানেজারটি খোলার চেষ্টা করেছি এবং ম্যানুয়ালি সমস্যার এন্ট্রিগুলি সরিয়েছি, এটিও নিশ্চিত করেছিলাম যে এলডিএপি এবং কার্বেরোস এন্ট্রিগুলি নতুন সার্ভারগুলিতে নির্দেশ করেছে। উদাহরণস্বরূপ, __ldap.Default-first-সাইট .__ sites.dc .__ msdcs.mydomain.local_ পয়েন্ট server3.mydomain.local । - এর সাথে ডিএনএস এন্ট্রি যাচাই করা হচ্ছে
nslookup। সার্ভার 3 এবং সার্ভার 4 এরnslookup -type=srv _kerberos._udp.mydomain.localজন্য এন্ট্রি প্রদান করে - সার্ভার 1 সম্পর্কে কিছুই নয় । - মেটাডাটা পরিষ্কার করা হচ্ছে। এই টেকনেট নিবন্ধে
ntdsutilবর্ণিত মেটাডেটা পরিষ্কার করার পরে , কমান্ডটি কেবলমাত্র দুটি এন্ট্রি প্রদান করবে, যা উভয়ই ঠিক আছে:ntdsutillist servers in site- 0 - সিএন = সার্ভার 4, সিএন = সার্ভারস, সিএন = ডিফল্ট-প্রথম-সাইট, সিএন = সাইটস, সিএন = কনফিগারেশন, ডিসি = মাইডোমেন, ডিসি = স্থানীয়
- 1 - সিএন = সার্ভার 3, সিএন = সার্ভারস, সিএন = ডিফল্ট-প্রথম-সাইট, সিএন = সাইটস, সিএন = কনফিগারেশন, ডিসি = মাইডোমেন, ডিসি = স্থানীয়
- অ্যাক্টিভ ডিরেক্টরি সাইট এবং পরিষেবাদি থেকে সার্ভার 1 মোছা । সার্ভার 1-কে ধ্বংস করার পরে , আমি লক্ষ্য করেছি যে এটি অ্যাক্টিভ ডিরেক্টরি সাইট এবং পরিষেবাদিতে রয়ে গেছে, যদিও এটি আর বৈশ্বিক ক্যাটালগ হিসাবে তালিকাভুক্ত ছিল না। আমি এই মাইক্রোসফ্ট কেবি নিবন্ধের নির্দেশাবলী অনুযায়ী এটি মুছে ফেলেছি ।
- অপারেশন মাস্টার রোলগুলি সার্ভার 3 এ স্থানান্তর করছে । অপারেশন মাস্টার রোলগুলি আমার ক্যানের বাইরে কিছুটা হলেও আমি আজ সকালে
ntdsutilসেগুলি সমস্ত সার্ভার 3 এ স্থানান্তর করতাম । কোনও ত্রুটি ছিল না, তবে রিবুটগুলি এবং পরীক্ষাগুলিতে দেখা গেছে যে সার্ভার 1 এখনও সমস্ত প্রমাণীকরণ করছে। - ডিএনএস সঙ্গে Reregistering এবং পুনরায় চালু করার NETLOGON । একটি ফোরাম পোস্ট কোনও সম্পর্কিত সমস্যা সমাধানের জন্য চলমান
ipconfig /registerdnsএবংnet stop netlogon && net start netlogonনতুন সার্ভারগুলিতে পরামর্শ দিয়েছে। এটা সাহায্য বলে মনে হচ্ছে না। - নতুন ডোমেন কন্ট্রোলারে বিজয়ী জিপিও লগন এবং অ্যাকাউন্ট লগনের ইভেন্টের জন্য নিরীক্ষণ সক্ষম করে তা নিশ্চিত করে।
অন্যান্য সীসা
- ফোরাম পোস্টগুলির এই সিরিজটিতে একই সমস্যা বর্ণিত হয়েছে । কোনও রেজোলিউশন নেই।
- বিশেষজ্ঞ এক্সচেঞ্জের এই প্রশ্নে এটিও বর্ণিত । উত্তরের হিসাবে চিহ্নিত মন্তব্যটিতে লেখা আছে, "এটির [sic] যদি আর কোনও ডিসি না হয়, তবে কোনও প্রমাণীকরণের অনুরোধগুলি প্রক্রিয়া করার কোনও উপায় নেই" " এটি আমার প্রতিক্রিয়া হতে পারে তবে সার্ভার 1
dcdiagএ চালানো নিশ্চিত করে যে সার্ভার 1 নিজেকে ডিসি হিসাবে বিবেচনা করে না। তবুও এটি এখনও একমাত্র সার্ভার প্রত্যেককে প্রমাণীকরণ করে।
এখানে কি হচ্ছে?