为什么降级域控制器仍在authentication用户？

每当用户使用域帐户login到工作站时，这个降级的DC对其进行身份validation。 其安全日志显示其login，注销和特殊login。 我们新的DC安全日志显示了一些机器login和注销，但与域用户无关。

背景

1. server1 （Windows Server 2008）：最近降级的DC，文件服务器
2. server3 （Windows Server 2008 R2）：新的DC
3. server4 （Windows Server 2008 R2）：新的DC

日志

安全日志事件： http : //imgur.com/a/6cklL 。

来自server1的两个示例事件：

• 将主域控制器移动到新的服务器
• replaceW2K3域控制器 – 我需要知道什么？
• VM域控制器的Hyper-V时间同步
• 什么是域控制器，什么时候需要，以及如何设置？
• 为什么不恢复6个月前备份的数据中心呢？

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: MYDOMAIN\auser Account Name: auser Account Domain: MYDOMAIN Logon ID: 0x8b792ce Logon GUID: {54063226-E9B7-D357-AD58-546793C9CA59} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: Source Network Address: 192.168.20.143 Source Port: 52834 Detailed Authentication Information: Logon Process: Kerberos Authentication Package: Kerberos Transited Services: - Package Name (NTLM only): - Key Length: 0 [ ... ] Audit Success,3/31/2014 11:06:06 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: MYDOMAIN\anotheruser Account Name: anotheruser Account Domain: MYDOMAIN Logon ID: 0x8b74ea5 Logon GUID: {7E74986A-7A4D-B6E0-5D6F-D8CF78E8C718} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: Source Network Address: 192.168.20.203 Source Port: 53027 Detailed Authentication Information: Logon Process: Kerberos Authentication Package: Kerberos Transited Services: - Package Name (NTLM only): - Key Length: 0 

来自server3的样本审核策略更改事件（日志中还有审核策略更改事件，标记为“成功添加”的更改）：

 System audit policy was changed. Subject: Security ID: SYSTEM Account Name: SERVER3$ Account Domain: MYDOMAIN Logon ID: 0x3e7 Audit Policy Change: Category: Account Logon Subcategory: Kerberos Authentication Service Subcategory GUID: {0cce9242-69ae-11d9-bed3-505054503030} Changes: Success removed 

尝试解决scheme

1. 修复DNS条目。 dcdiag /test:dns在server1被降级后， dcdiag /test:dns开始返回错误。 例如，在我们的正向查找区域中有过时的名称服务器条目。 我结束了打开DNSpipe理器，并手动删除问题条目，也确保LDAP和Kerberos条目指向新的服务器。 例如，__ldap.Default-First-Site .__ sites.dc .__ msdcs.mydomain.local_指向server3.mydomain.local 。
2. 使用nslookupvalidationDNS条目。 nslookup -type=srv _kerberos._udp.mydomain.local返回server3和server4的条目 – 没有关于server1的条目。
3. 清理元数据。 按照此TechNet文章中所述使用ntdsutil清理元数据后list servers in site的ntdsutil命令list servers in site只返回两个条目，这两个条目看起来都不错：
   1. 0 – CN = SERVER4，CN =服务器，CN =默认首先站点，CN =站点，CN =configuration，DC = mydomain，DC =本地
   2. 1 – CN = SERVER3，CN = Servers，CN = Default-First-Site，CN = Sites，CN = Configuration，DC = mydomain，DC = local
4. 从Active Directory站点和服务中删除server1 。 在降级server1之后 ，我发现它仍然保留在Active Directory站点和服务中，尽pipe它不再被列为全局编录。 我根据此Microsoft知识库文章中的说明删除它。
5. 将操作主angular色转移到server3 。 操作主angular有点超出我的肯定，但是我今天早上用ntdsutil将它们全部传送到server3 。 没有错误，但是重新启动和testing显示server1仍在进行所有的身份validation。
6. 重新注册DNS并重新启动netlogon 。 一个论坛postbuild议在新服务器上运行ipconfig /registerdns和net stop netlogon && net start netlogon来解决相关的问题。 这似乎没有帮助。
7. 确保新的域控制器上获胜的GPO能够对login和帐户login事件进行审计。

其他信息

• 在这个系列的论坛post中描述了同样的问题。 没有解决办法
• 在专家交stream这个问题上也有所描述。 标注为答案的评论是这样写的：“如果它不再是一个DC，那么它就无法处理任何authentication请求。” 这将是我的反应，但在server1上运行dcdiag确认server1不认为自己是一个DC。 但它仍然是唯一一个authentication每个人的服务器。

这里发生了什么？