約15台のサーバーと約30台のワークステーションのドメインがあります。サーバーは主に2008r2、ワークステーションは主にWindows 7です。2つのDCは2012r2です。数週間ごとに、管理アカウントの1つがロックアウトされます。私は原因を絞り込もうとしていて、行き止まりに達しました。
これが私が持っているものです。
PDCのイベントログにイベント4776-成功の監査が表示されます。
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: username
Source Workstation:
Error Code: 0x0
すべて同じユーザー名で、1秒間に数回繰り返されます。
イベントIDに基づくと、これらはKerberosではなくNTLMログインです。使用される認証の種類は、せん断量よりも私にとってそれほど心配ではありませんが。これは、1秒間に数回発生し、数秒ごとに無限に繰り返されます。
イベントログには、このユーザー名の監査成功イベントID 4624(ログオン)および4634(ログオフ)も表示されますが、上記のイベントと同様に、「ワークステーション」フィールドは空です。
詳細なnetlogonロギングを有効にすると、netlogon.logに表示されます
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Entered
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Returns 0x0
などなど。これらのログインの明らかなソース(XYZ経由)には、ネットワーク全体のワークステーションとサーバーが含まれる場合があります。
明らかに、これは自動化またはスクリプトのように見えます。ログインは通常すべて成功しているため、侵入の試みではないと思います。ただし、一部のログインは時々失敗しますが、失敗のパターンは確認できず、まれにしか発生しないため(ほとんどの場合)、アカウントがロックアウトされません。通常、エラーコードは0xc0000022(アクセス拒否)です。
サーバーの1つからリモート監視エージェント(現在はKaseyaですが、ついにLabTechに移行します)を無効にしてアンインストールしましたが、そのサーバーから発生する新しいイベントがまだあるため、自動化タスクは除外されています。また、いくつかのサーバーでタスクスケジューラを確認したところ、異常なことは何も見つかりませんでした。サービスをチェックしてログオンアカウントを確認しましたが、このアカウントはどのサービスでも使用されていません。
私は長い間Netstatを実行しており、主に「システム」と「システムアイドルプロセス」からPDCへの接続を確認しました。spoolsrvとlsassおよびismservからの接続が時々見られました(テスト対象のサーバーはCitrix XenAppサーバーですが、他の「ソース」サーバーはXenAppファームにありません。もちろん「ソース」ワークステーションもありません)。テストのために印刷スプーラーサービスを停止しましたが、ログインイベントに影響はありませんでした。
私はMSPで働いており、これは私たちの主要な技術者dom管理者アカウントであるため、機能していて安全であることは最優先事項です。私が残した最後のアイデアは、パスワードを変更して何が壊れるかを確認することですが、これに使用されているアカウントを知らないと、壊滅的な結果をもたらす可能性があります。ただし、私の疑いは、これが誤って構成されたADである可能性があることです。
誰かが以前にこのようなことを経験し、ソースを特定できましたか?