Windows ドメインの Active Directory 内のアカウントの最終ログオン時刻を取得するために、すべてのドメイン コントローラの LastLogon 属性と 1 つのドメイン コントローラの LastLogonTimestamp を照会しています。現在調べている特定のユーザー アカウントには、値が 180d 以上の LastLogon 属性があります。これは、ユーザー アカウントが最近使用されていないはずなので当然です。しかし、LastLogonTimestamp の値は 12 時間程度です。レプリケーション要件を読みました。最終ログオンタイムスタンプそして私はまた読んだ最終ログオンそして、それが複製されないため、すべてのドメイン コントローラーから値を照会します。
LastLogonTimestamp が各ドメイン コントローラーのすべての LastLogon 値よりも新しい値になる可能性があるのはなぜか、誰か説明してもらえますか? 何が足りないのでしょうか?
答え1
Kerberos 偽装モデルにより、アカウントから実際にログオンしなくても LastLogonTimeStamp を更新できます。
Kerberos S4u2Self で LastLogonTimeStamp を更新する方法
LastLogonTimeStamp は利便性のために提供されています。数百の DC と分断されたネットワーク トポロジを持つ組織では、すべての DC に対して LastLogon を直接照会することができない場合があります。ただし、すべての DC にアクセスでき、LastLogon を照会している場合は、LastLogonTimeStamp は必要ありません。