может быть, кто-нибудь может мне намекнуть по этому поводу.
Я оцениваю предварительные условия для изменения UPN всех (человеческих) пользователей в большой среде Microsoft AD на рекомендованный формат MS (согласованный с основным общедоступным почтовым адресом пользователя, включая общедоступный маршрутизируемый почтовый домен пользователя в качестве суффикса UPN).
Теперь изменение UPN может привести к поломке приложений или служб или нарушить процессы входа в систему, когда используется UPN.
Я знаю, что UPN не широко используется для входа в систему в большинстве сред сегодня, но я хотел бы уточнить, есть ли способ диагностировать использование UPN для процессов входа в систему.
Мы говорим о функциональном уровне намного выше 2003 года, но с активным NTLM. Соответствующие контроллеры домена работают под управлением 2012 и 2012 R2. В этом случае сценарий ограничен одним лесом с 3 доменами. Хотя это лишь часть среды, это единственная часть, имеющая отношение к изменению UPN.
Первым и самым простым было бы проверить журнал событий на контроллерах домена на наличие событий входа в систему. Проблема в том, что, насколько я понимаю, они всегда регистрируются в «устаревшем» формате «ДОМЕН \ имя пользователя», независимо от того, какое представление идентификатора пользователя использовалось для входа в систему. пожалуйста поправьте меня, если я ошибаюсь, так как это действительно сильно ускорит процесс.
Следующее, что мне приходит в голову, - это сетевые трассировки билетов Kerberos, идущих туда и обратно. Если я не ошибаюсь насчет Kerberos, они изначально зашифрованы с использованием пароля пользователя, и для их проверки мне нужно будет расшифровать билет, используя данные от (возможно) неизвестного клиента.
Здесь я не уверен и надеюсь, что ошибаюсь, поскольку в какой-то момент контроллеры домена должны определить, какой хэш пароля они используют для расшифровки сообщения. Я признаю, что я еще не проводил много тестирования по этому поводу, так как я не хотел прямо сейчас модифицировать контроллеры домена.
Может быть, есть другой способ подойти к этому, о котором я еще не думал - в любом случае, я надеюсь, что кто-нибудь может дать мне подсказку о возможных подходах для решения этой проблемы. Я бы не хотел «применить изменение и пригнуться», я бы предпочел сделать это правильно с первого раза, если это возможно.
Хорошо, теперь я могу ответить на этот вопрос после тестовой лаборатории. Первоначальный запрос TGT от системы, в которую выполняется вход в контроллер домена, содержит имя пользователя в виде открытого текста в полезной нагрузке Kerberos сетевого пакета (ов) (это уже было известно).
Но:
При входе в систему с имя домена \ имя пользователя, это будет имя пользователя.
При входе в систему с UPN, это будет полный UPN пользователя
Вам нужен пакет TCP, полезная нагрузка KRB5, тип сообщения krb-as-req (10) Имя пользователя находится в разделе «cname» с типом имени «KRB5-NT-ENTERPRISE-PRINCIPAL»
Итак, чтобы узнать, используются ли в вашей сети UPN, отследите все эти пакеты, поступающие на ваши контроллеры домена, через некоторое время сохраните следы на диске и отфильтруйте их по знаку «@».