4929 AD レプリカソース名前付けコンテキストの削除
Active Directory のレプリカソース名前付けコンテキストが削除されたときに記録される。確立 4928 と対で、DC 間のレプリケーション関係の解消を捉える。
概要
サブカテゴリは Audit Detailed Directory Service Replication。あるドメインコントローラが、レプリケーション元(ソース)としていた DC との、特定の名前付けコンテキスト(ディレクトリのパーティション)の複製関係を解消すると生成される。成功(S)/失敗(F)がある。
発生契機・方法
- DC の降格、トポロジ変更、サイト構成変更などでレプリケーション関係が解消されたとき。
セキュリティ上の確認事項
- レプリケーション関係の解消は通常はトポロジ運用の一部。想定外の解消は、レプリケーションの妨害や DC の不正な切り離しの可能性を考える。
- 確立 4928・変更 4930 と併せ、レプリケーション構成の変遷を追う。
ログレビュー時の注意観点
- 詳細レプリケーション監査は大量に出る。常時ではなくトポロジ変更時の調査に使う。
- 解消されたソース DC・名前付けコンテキストが正規の構成変更と一致するかを確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
| ソース DC | 解消されたレプリケーション元 |
Naming Context | 対象パーティション |