Назад | Перейти на главную страницу

Почему VSS создает события неудачного входа в систему (идентификатор события 4625) при установке Azure AD Connect?

У нас есть заказчик с контроллером домена Windows Server 2016. Это небольшой бизнес, поэтому их серверная инфраструктура состоит из хоста Hyper-V и этого контроллера домена. На DC размещаются общие файловые ресурсы и Azure AD Connect для синхронизации удостоверений с Office 365.

Мы отслеживаем событие с кодом 4625 и имеем порог срабатывания предупреждений, чтобы помочь нам определить потенциальные атаки методом грубой силы на сеть.

В октябре прошлого года мы начали получать предупреждения о превышении порога предупреждения о неудачном входе в систему. После расследования у нас есть следующее описание проблемы:

События неудачного входа в систему происходят автоматически при запуске резервных копий VSS (Datto) или при синхронизации AADC.
Резервное копирование выполнено успешно, и AADC синхронизируется нормально, без ошибок
Есть две учетные записи, которые не могут войти в систему:
- SERVERNAME $ (например, учетная запись SYSTEM) при каждом запуске резервного копирования
- AAD_ * при запуске AADC
СОСТОЯНИЕ события: 0xC000006D - сбой имени пользователя или пароля.
Событие SUB STATUS равно 0x0 - Status OK.
Сбой входа в систему можно легко воспроизвести, запустив vssadmin list writers

Список устранения неполадок за последние несколько месяцев длинный. Это неполный список:

Удалите RRAS и WID (включая удаление папок WID, чтобы убедиться, что разрешения установлены правильно при переустановке ролей)
Очистка кеша учетных данных SYSTEM (с помощью psexec & rundll32 keymgr.dll,KRShowKeyMgr - учетные данные не кешируются)
Войдите в WID с помощью SQL Server Management Studio и проверьте разрешения базы данных (для учетных записей LOCALSERVICE и NETWORKSERVICE)
Настройка разрешений для различных разделов реестра (это позволило избавиться от несвязанных ошибок CAPI2 и WIDWRITER в журнале событий приложения)
Запуск DCDIAG и просмотр журналов событий приложений и очистка любых ошибок и предупреждений (включая предупреждения DNS, добавление имен участников-служб и повторная регистрация записей DNS AD, а также выполнение полномочного восстановления DFSR D4 для очистки предупреждений при миграции сервера)
Мониторинг с помощью sysinternals ProcessMonitor для выявления любого отказа в доступе или других ошибок (это побудило меня настроить разрешения для папок и записей реестра, чтобы убедиться, что и LOCALSERVICE, и NETWORKSERVICE (учетные записи служб, на которых запущен WIDWRITER и другие службы VSS) имеют доступ)
Проверка типа запуска службы и учетных записей для входа в систему для служб и писателей VSS, AADC и т. Д.
Остановка служб и выполнение тестов (остановка службы синхронизации AADC устраняет все ошибки входа в систему. Вот как я сузил ее до AADC)
Удаление AADC
Запустить восстановление локальной БД SQL Express
Обращение в службу поддержки Майкрософт с использованием нашего контракта на поддержку партнерства с MS - он сказал: «Нет потери функциональности и у вас нет реального пользователя, который не может войти в систему, поэтому мы не можем вам помочь, подпишитесь на поддержку Premier!» (Извините, SYSTEM не считается важным пользователем ????)
Биться головой о несколько стен и многое другое

Полезная вещь, которую вы узнали во время всего этого

При удалении и повторной установке AADC запускается vssadmin list writers постоянно в процессе установки появляются ошибки немедленно после установки компонентов SQL, еще до того, как программа установки завершит работу.
Когда SSMS установлен, и я вхожу в базу данных, я также получаю неудачные события входа в систему для учетной записи администратора dom, с которой я вошел в систему, хотя мой сеанс SSMS кажется не затронутым.

Проблема явно связана с AADC, потому что я могу остановить службу синхронизации AAD или удалить AADC, и все неудачные события входа в систему исчезнут. Но удаление AADC и удаление папок AADC, очистка учетных записей пользователей AADC и очистка записей реестра AADC, чтобы попытаться получить действительно новую установку, не имеет никакого эффекта, ошибки сразу же возвращаются, когда я переустанавливаю AADC.

На данный момент я в своем уме и не знаю, что еще делать и куда еще даже смотреть. Я надеюсь, что кто-то там, в эфире, знает больше, чем я (вероятно), или испытал это раньше и нашел исправление.

И последнее замечание: DNS-имя сервера состоит из 9 символов, что означает, что оно не соответствует его имени NETBIOS. Не думаю, что это причина, но при необходимости могу переименовать сервер. Это просто небольшая головная боль для серийного DC и файлового сервера.

Первоначально эта проблема возникла в октябре 2019 года. На это потребовался почти год, но я наконец нашел решение, которое намекает на возможное объяснение.

Решением было настроить следующий раздел и значение реестра:

Ключ: HKLM \ System \ CurrentControlSet \ Control \ LSA \ MSV1.0
Тип значения: многострочное значение
Имя значения: BackConnectionHostNames
Значение: все имена хостов DNS для сервера, каждое в отдельной строке.

Это разрешало неудачные попытки входа в систему, когда VSS работал с базой данных SQL.

Это часть функции безопасности, представленной в Windows Server 2003, которая называется Функциональность кольцевой проверки.

Из того, что я читал о том, как работает функция Loopback Check Function, я считаю, что происходит то, что всякий раз, когда VSS входит в SQL для выполнения резервного копирования, он входит в систему как SYSTEM. LSA ожидает, что вход в систему для SYSTEM будет происходить от имени DNS сервера, но на самом деле вход в систему происходит по имени NETBIOS сервера. Поскольку имя DNS не совпадает с именем NETBIOS в этом случае, LSA не проходит проверку подлинности Kerberos, и вход возвращается к NTLM, который принимает имя NETBIOS.

Настроив BackConnectionHostNames мы говорим LSA принимать соединение как от имен NETBIOS, так и от DNS, и аутентификация проходит успешно.

Мне удалось отследить ошибку, используя Sysinternals ProcessMonitor чтобы отследить все, что VSS делал, когда возникали ошибки. Я обнаружил, что VSS обращается к папкам, расположенным по адресу C: \ Users \ {AzureADConnect Account} \ AppData \ Local \ Microsoft \ Microsoft SQL Server Local DB \ Instances \ ADSync где я нашел журнал ошибок файлы. Эти журналы содержали следующую ошибку:

2020-08-13 13:00:47.43 Logon       Error: 17806, Severity: 20, State: 14.
2020-08-13 13:00:47.43 Logon       SSPI handshake failed with error code 0x8009030c, state 14 while establishing a connection with integrated security; the connection has been closed. Reason: AcceptSecurityContext failed. The Windows error code indicates the cause of failure. The logon attempt failed   [CLIENT: <named pipe>]

Это был прорыв, в котором я нуждался, поскольку эта информация об ошибке привела меня к нескольким местам, таким как этот вопрос SE, который рекомендовал полностью отключить проверки обратной связи. Не желая отключать функцию безопасности, я продолжал поиск, пока не нашел источники (1) и (2) в котором описано, как настроить функцию проверки обратной связи, не отключая ее, путем создания записи реестра для BackConnectionHostNames как я обрисовал выше.