Windows 도메인의 Active Directory에서 계정의 마지막 로그온 시간을 얻으려면 모든 도메인 컨트롤러의 LastLogon 특성과 한 도메인 컨트롤러의 LastLogonTimestamp를 쿼리합니다. 현재 조사하고 있는 특정 사용자 계정에는 값이 180d보다 큰 LastLogon 속성이 있는데, 이는 해당 사용자 계정이 최근에 사용되어서는 안 되었기 때문에 의미가 있습니다. 그러나 LastLogonTimestamp의 값은 약 12h입니다. 복제 요구 사항을 읽었습니다.마지막로그온타임스탬프그리고 나도 읽어봤어마지막로그온복제되지 않기 때문에 모든 도메인 컨트롤러에서 값을 쿼리합니다.
LastLogonTimestamp가 모든 도메인 컨트롤러의 모든 단일 LastLogon 값보다 최신일 수 있는 방법을 누군가 설명해 줄 수 있습니까? 내가 무엇을 놓치고 있나요?
답변1
Kerberos 가장 모델로 인해 계정에서 실제 로그온하지 않고도 LastLogonTimeStamp를 업데이트할 수 있습니다.
LastLogonTimeStamp가 Kerberos S4u2Self로 업데이트되는 방법
LastLogonTimeStamp는 편의를 위해 제공됩니다. 수백 개의 DC와 연결되지 않은 네트워크 토폴로지가 있는 조직의 경우 LastLogon에 대해 모든 DC를 직접 쿼리하는 것이 불가능할 수 있습니다. 그러나 모든 DC에 대한 액세스 권한이 있고 LastLogon을 쿼리하는 경우에는 LastLogonTimeStamp가 필요하지 않습니다.