Вопросы Теги

Сервисная Запись Имени Принципала интеграции LDAP Active Directory 2012 года Исчезает?

Мог попробовать:
order deny,allow
allow from 127.0.0.1
deny from all
в .htaccess файле. - Я использую подобную установку, чтобы позволить внешнему веб-сайту предоставлять весь доступ от нашего офисного IP, но просить пароль от любого другого.

8
задан 19 November 2013 в 21:19
1 ответ

Это действительно интересное (и раздражающее) явление и я настаиваю, чтобы мы выяснили, что здесь происходит.

К счастью, в Windows Server с 2008 года есть несколько детализированных политик аудита, и мы можем использовать аудит, чтобы отследить , кто это сделал. Для этого нам необходимо: repadmin iz boss

Включить аудит изменений объекта AD DS:

Если глобальная политика аудита еще не определена, вы можете внести это изменение в локальную политику безопасности на контроллере домена, указанном на предыдущем шаге.

Откройте Управление групповой политикой Консоль ( gpmc.msc ) и найдите политику контроллеров домена по умолчанию и отредактируйте ее.

  1. Перейдите в Конфигурация компьютера -> Настройки Windows -> Настройки безопасности
  2. Выберите и разверните Локальные политики -> Параметры безопасности
  3. . Убедитесь, что Audit: Force audit policy subcategory settings ... установлен на Включено Force audit subcategories where classic categories are a already being applied
  4. Выберите и разверните Расширенная политика аудита -> Политики аудита -> Перейдите к объекту учетной записи компьютера, щелкните его правой кнопкой мыши и выберите «Свойства». Выберите вкладку Безопасность и нажмите кнопку «Дополнительно».

    В запросе выберите вкладку Аудит и убедитесь, что для параметра выполняется аудит «Запись всех свойств» ] Все . Если нет или вы сомневаетесь, добавьте новую запись:

    1. Нажмите Добавить .
    2. Введите «Все» в качестве целевого участника
    3. Выберите «Успех» в качестве типа
    4. Прокрутите вниз до свойств и отметьте «Записать servicePrincipalName»
    5. Нажмите OK, чтобы добавить запись и выйти из ADUC

    ( Если вам лень, вы можете просто выбрать «Записать все свойства» )

    Воспроизведите ошибку

    Судя по вашему вопросу, SPN удаляется каждую минуту или около того, так что это, вероятно, самый простой шаг. Между тем возьмите 1-минутный урок музыки .

    Проверьте журнал безопасности на контроллере домена-нарушителя

    . Теперь, когда прошла минута, давайте проверим журнал безопасности на контроллере домена, идентифицированном как originator на шаге 1. Это может быть проблемой в больших доменах, но фильтрация может помочь в этом:

    1. Откройте средство просмотра событий и перейдите в Журналы Windows -> Безопасность
    2. На правой панели выберите Фильтр текущего журнала
    3. В поле ввода с надписью « <Все идентификаторы событий> » введите 5136 (это идентификатор события для изменения объекта каталога)

    Вы должны теперь можно найти запись о событии для каждого изменения атрибута servicePrincipalName в учетной записи компьютера.

    Определите «Тема» ответственны за изменение и посмотрите, откуда оно взялось. Убейте этот процесс / машину / учетную запись огнем!

    Если субъект идентифицирован как СИСТЕМА , АНОНИМНЫЙ ВХОД или аналогичное общее описание, мы имеем дело с внутренней обработкой на сам контроллер домена, и нам нужно вывести некоторые диагностические журналы NTDS, чтобы узнать, что происходит. Обновите вопрос, если это так

6
ответ дан 2 December 2019 в 23:04

Теги

Похожие вопросы