为什么降级的域控制器仍在对用户进行身份验证？

每当用户使用域帐户登录工作站时，降级的DC都会对其进行身份验证。其安全日志显示其登录，注销和特殊登录。我们新的DC的安全日志显示了一些计算机的登录和注销，但与域用户无关。

背景

1. server1（Windows Server 2008）：最近降级的DC文件服务器
2. server3（Windows Server 2008 R2）：新DC
3. server4（Windows Server 2008 R2）：新DC

日志

安全日志事件：http : //imgur.com/a/6cklL。

来自server1的两个示例事件：

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.143
    Source Port:        52834

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

[ ... ]

Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\anotheruser
    Account Name:       anotheruser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b74ea5
    Logon GUID:     {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 192.168.20.203
    Source Port:        53027

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

来自server3的示例审核策略更改事件（日志中还存在审核策略更改事件，其更改标记为“已添加成功”）：

System audit policy was changed.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER3$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Audit Policy Change:
    Category:       Account Logon
    Subcategory:        Kerberos Authentication Service
    Subcategory GUID:   {0cce9242-69ae-11d9-bed3-505054503030}
    Changes:        Success removed

尝试的解决方案

1. 修复DNS条目。 dcdiag /test:dns在将server1降级后，最初返回错误。例如，在我们的正向搜索区域中有过时的名称服务器条目。我最终打开了DNS管理器并手动删除了问题条目，还确保LDAP和Kerberos条目指向新服务器。例如，__ldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_指向server3.mydomain.local。
2. 使用验证DNS条目nslookup。 nslookup -type=srv _kerberos._udp.mydomain.local返回条目服务器3和服务器4什么也没有关于server1的。
3. 清理元数据。ntdsutil如本文TechNet文章所述用于清理元数据之后，该ntdsutil命令list servers in site仅返回两个条目，看起来都不错：
   1. 0-CN = SERVER4，CN =服务器，CN =默认第一站点，CN =站点，CN =配置，DC =我的域，DC =本地
   2. 1-CN = SERVER3，CN =服务器，CN =默认第一站点，CN =站点，CN =配置，DC =我的域，DC =本地
4. 从Active Directory站点和服务中删除server1。降级server1之后，我注意到它仍然保留在Active Directory站点和服务中，尽管它不再列为全局目录。我已按照此Microsoft KB文章中的说明将其删除。
5. 将操作主机角色转移到server3。运营主管的角色有点超出我的范围，但是我经常ntdsutil在今天早上将其全部转移到server3。没有错误，但是重新启动和测试表明server1仍在执行所有身份验证。
6. 重新注册DNS并重新启动netlogon。一个论坛帖子建议在新服务器上运行ipconfig /registerdns，net stop netlogon && net start netlogon以解决相关问题。似乎没有帮助。
7. 确保新域控制器上的获胜GPO能够审核登录和帐户登录事件。

其他线索

• 本系列论坛帖子中描述了相同的问题。没有解决方案。
• 此问题也在Experts Exchange上进行了描述。标记为答案的注释写为：“如果它不再是DC，则无法处理任何身份验证请求。” 那是我的反应，但是dcdiag在server1上运行可以确认server1不会将自己视为DC。但是，它仍然是唯一一个对所有人进行身份验证的服务器。

这里发生了什么？

它是文件服务器-用户是否连接到该服务器以访问文件？那可能就是您所看到的。这些将显示在安全日志中。

从server1发布一些日志条目（全部-文本转储或屏幕快照），以显示您关注的行为。

/编辑-感谢您的确认。登录类型3为“网络”。访问记录事件的计算机上的共享文件或打印机时最常出现。

降级的DC绝不会继续对域登录进行身份验证。您看到的是本地登录事件。当您使用域凭据登录到成员服务器时，将在本地看到登录事件，以及DC上的相应凭据验证事件。

当您使用本地凭据登录到成员服务器时，您仍然会在本地看到登录事件，但是在DC上将看不到任何凭据验证事件。