Во-первых, я прошу прощения, если я выбрал неправильную ветку для этого вопроса.
Я получаю много ошибок входа в систему на контроллере домена для учетной записи, которая называется доменом. Поэтому, очевидно, вместо имени пользователя, кто-то положил туда доменное имя. И я пытаюсь выяснить источник сбоев входа в систему и исправить его.
Пожалуйста, смотрите сообщения об ошибках Windows:
> <13>May 30 09:07:43 192.168.1.1(<- IP address of a DC) AgentDevice=WindowsLog
> AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing
> Computer=my_domain_controller.mydomain.local User= Domain= EventID=4625
> EventIDCode=4625 EventType=16 EventCategory=12544
> RecordNumber=1496134876135 TimeGenerated=1496134771119
> TimeWritten=1496134771119 Message=An account failed to log on.
> Subject: Security ID: S-1-0-0 Account Name: - Account Domain:
> - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: S-1-0-0 Account Name: mydomain Account
> Domain: Failure Information: Failure Reason: %%2313 Status:
> 0xc000006d Sub Status: 0xc0000064 Process Information: Caller
> Process ID: 0x0 Caller Process Name: - Network Information:
> Workstation Name: Source Network Address: - Source Port: -
> Detailed Authentication Information: Logon Process: NtLmSsp
> Authentication Package: NTLM Transited Services: - Package Name
> (NTLM only): - Key Length: 0
> <13>May 30 09:07:43 192.168.1.1(<- IP address of a DC) AgentDevice=WindowsLog
> AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing
> Computer=my_domain_controller.mydomain.local User= Domain= EventID=4776
> EventIDCode=4776 EventType=16 EventCategory=14336
> RecordNumber=1496134876135 TimeGenerated=1496134775413
> TimeWritten=1496134775413 Message=The computer attempted to
> validate the credentials for an account. Authentication Package:
> MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: mydomain
> Source Workstation: Error Code: 0xc0000064
В этих журналах IP-адрес источника - это IP-адрес DC (хотя все в порядке). Но «Имя рабочей станции» пусто. Однако тип входа в систему: 3 указывает, что это вход в сеть. Поэтому я не мог найти, откуда это взялось.
Я подумал, что это может быть соединение RDP через SSL/TLS, но в этом случае NTLM не должен использоваться. Это верно?
Или, может быть, это попытки аутентификации через IIS? Но почему у меня так мало информации?
Или же... Поэтому я действительно не знаю, что бы это могло быть и как это остановить.
Может быть, какая-то дополнительная политика аудита может дать здесь больше информации?
Включит дополнительный "аудит NTLM", возможно, он даст мне больше информации.
Любой совет?