我有一个运行5 x 2008(非R2)DC的2008级Windows域(在接下来的9-12个月内迁移到R2或可能2012的路线图上,但这个项目需要先工作),而我需要在安全事件日志中为集成了AD的Web过滤系统启用Kerberos身份validation服务事件。
显然,“Kerberos身份validation服务”审核设置是2008 R2的新增function,并不在2008 GPO界面中。
这篇TechNet文章似乎表明,我应该能够从2008 R2成员服务器启用“默认域控制器策略”上的设置,并将应用于2008服务器:
如果configuration了此策略设置,则会生成以下事件。 这些事件出现在运行Windows Server 2008 R2, Windows Server 2008 ,Windows 7或Windows Vista的计算机上。
- 编辑现有GPO中的软件分发path
- IE 10缺less代理GPO设置
- 卡住太久时如何中止应用组策略?
- 在“软件限制”策略中允许使用CD驱动器
- 是否可以将特定IP范围内的计算机添加到特定的Active Directory组?
事件ID事件消息
4768请求了Kerberos身份validation票证(TGT)。
4771 Kerberos预authentication失败。
4772 Kerberos身份validation票证请求失败。
但是,我已经试过了,我的5个DC中有4个应用了这个设置,但是其中一个没有在安全日志中logging审计事件。
2008年(非R2)服务器上有更好的方法吗? 有没有什么明显的可能会启用(或禁用)在这个古怪的DC,导致它不接受R2的设置? 任何其他想检查的东西?
在发生违规的DC事件日志中我没有看到任何exception。 任何想法或帮助表示赞赏。感谢您提供任何帮助。
编辑:这是一个链接到我以前的问题 ,我问如何启用此服务器上的这个设置2008年。这个问题变得陈旧,所以我问它的下一个逻辑扩展在这里。
我仍然无法解决为什么5个DC中的1个没有进行这些策略更改的原因,但是我可以通过在其上运行以下auditpol命令来解决此问题:
auditpol /set /category:"account logon" /subcategory:"kerberos Authentication Service" /success:enable
刷新GP并重新启动DC之后,设置仍然卡住,所以我猜它没有被覆盖到任何地方,所以我称之为好。
感谢所有读过这些的人,也许会在类似的情况下帮助别人。