Событие 4625 Контрольный ПУСТОЙ УКАЗАТЕЛЬ Отказа SID привел сетевые входы в систему к сбою

В 3 отдельных системах следующее событие регистрируется много раз (между 30 - 4 000 раз в день в зависимости от системы) на сервере контроллера домена:

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Это событие немного отличается всем другим, что я нашел во время исследования, но я определил следующее:

1. Event ID: 4625. "Учетной записи не удалось войти в систему".
2. Logon Type: 3. "Сеть (т.е. соединение с совместно используемой папкой на этом компьютере откуда-либо в сети)".
3. Security ID: NULL SID. "Действительная учетная запись не была определена".
4. Sub Status: 0xC0000064. "Имя пользователя не существует".
5. Caller Process Name: C:\Windows\System32\lsass.exe. Сервис подсистемы полномочий локальной защиты (LSASS), процесс в операционных системах Microsoft Windows, который ответственен за осуществление политики безопасности в системе. Это проверяет пользователей, входящих в систему компьютера Windows или сервера, обрабатывает изменения пароля и создает маркеры доступа. Это также пишет в Журнал безопасности Windows.
6. Workstation Name: SERVERNAME. Запрос аутентификации отправляется или через сам контроллер домена.

Общие черты затронутых систем:

1. Серверная операционная система: Windows Small Business Server 2011 или основы Windows Server 2012 R2
2. Настольная операционная система: Windows 7 Профессионал (обычно)

Различия затронутых систем:

1. Антивирус
2. Интегрированная Active Directory Фильтрация интернет-контента
3. Рабочий стол кэшировал входы в систему
4. Роли (Exchange, резервное копирование, и т.д.)

Некоторые интересные вещи я заметил в наиболее сильно затронутой системе:

1. Мы недавно начали синхронизировать Active Directory и пароли учетной записи пользователя Office 365 через Основы Windows Server 2012 R2 интеграция Office 365. Интеграция требует, чтобы пароль администратора Office 365 и политика безопасности были наращены. Синхронизация требует, чтобы каждая учетная запись пользователя, которая будет присвоена соответствующей Microsoft онлайн, считала, который требует, чтобы пароль учетной записи был изменен на следующем входе в систему. Мы также добавили их основной почтовый домен как суффикс UPN в Доменах Active Directory и Трестах и изменили UPN всех учетных записей пользователей на их почтовый домен. Эффективно, это позволило им входить в систему к домену и Office 365 с помощью их адреса электронной почты и пароля. Однако начиная с выполнения этого количество событий, зарегистрированных в день, увеличилось с ~900 до ~3 900.Примечание: ни один из административных или основанных на задании (резервное копирование, сканер, и т.д.) учетные записи пользователей были изменены, и ни у каких пользователей нет проблем, получающих доступ ни к каким частям системы.
2. Объем событий, кажется, регистрируется равномерно обычно каждые 30 или 60 минут за исключением ~09:00, который является, когда пользователи приезжают на работу: 02.07.2015 18:55
   02.07.2015 19:25
   02.07.2015 19:54
   02.07.2015 20:25
   02.07.2015 20:54
   02.07.2015 21:25
   02.07.2015 22:24
   02.07.2015 23:25
   03.07.2015 0:25
   03.07.2015 1:24
   03.07.2015 1:55
   03.07.2015 2:24
   03.07.2015 2:55
   03.07.2015 3:55
   03.07.2015 4:55
   03.07.2015 5:54
   03.07.2015 6:25
   03.07.2015 7:25
   03.07.2015 8:24
   03.07.2015 8:27
   03.07.2015 8:49
   03.07.2015 8:52
   03.07.2015 8:54
   03.07.2015 8:56
   03.07.2015 8:57
   03.07.2015 9:00
   03.07.2015 9:01
   03.07.2015 9:03
   03.07.2015 9:06
   03.07.2015 9:08
   03.07.2015 9:10
   03.07.2015 9:12
   03.07.2015 9:13
   03.07.2015 9:17
   03.07.2015 9:13
   03.07.2015 9:25
   03.07.2015 10:24
   03.07.2015 11:25

3. Следующее событие зарегистрировано терминал / сервер служб удаленного рабочего стола хотя нигде рядом как много раз:

   An account failed to log on.
   
   Subject:
       Security ID:        NULL SID
       Account Name:       -
       Account Domain:     -
       Logon ID:       0x0
   
   Logon Type:         3
   
   Account For Which Logon Failed:
       Security ID:        NULL SID
       Account Name:       %terminalServerHostname%
       Account Domain:     %NetBIOSDomainName%
   
   Failure Information:
       Failure Reason:     Unknown user name or bad password.
       Status:         0xC000006D
       Sub Status:     0xC0000064
   
   Process Information:
       Caller Process ID:  0x0
       Caller Process Name:    -
   
   Network Information:
       Workstation Name:   %terminalServerHostname%
       Source Network Address: %terminalServerIPv6Address%
       Source Port:        %randomHighNumber%
   
   Detailed Authentication Information:
       Logon Process:      NtLmSsp 
       Authentication Package: NTLM
       Transited Services: -
       Package Name (NTLM only):   -
       Key Length:     0
   
   This event is generated when a logon request fails. It is generated on the computer where access was attempted.
   
   The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
   
   The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
   
   The Process Information fields indicate which account and process on the system requested the logon.
   
   The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
   
   The authentication information fields provide detailed information about this specific logon request.
       - Transited services indicate which intermediate services have participated in this logon request.
       - Package name indicates which sub-protocol was used among the NTLM protocols.
       - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
   

Так, таким образом, это определенно, кажется, связано с доступом к сети от учетных записей пользователей штата использования настольных компьютеров, но я не вижу как.

Обновление 25.08.2015 8:48:

В наиболее сильно затронутой системе я сделал следующее для изоляции проблемы и после того, как каждый вернулся изменение:

1. Закройте терминал / сервер служб удаленного рабочего стола и универсальные неудавшиеся входы в систему действительно продолжались.
2. Отключенный сервер контроллера домена от сети и универсальных неудавшихся входов в систему действительно продолжался.
3. Перезагруженный сервер в Безопасный режим без сетей и универсальных неудавшихся входов в систему не продолжался.
4. Остановленный и отключенный все "ненужные" сервисы (контролирующий агент, резервное копирование, интеграцию фильтрации сети, TeamViewer, антивирус, и т.д.) и универсальные неудавшиеся входы в систему действительно продолжались.
5. Остановленные и отключенные сервисы Основ Windows Server (WseComputerBackupSvc, WseEmailSvc, WseHealthSvc, WseMediaSvc, WseMgmtSvc, и WseNtfSvc) и универсальные неудавшиеся входы в систему не продолжались.
6. В конечном счете, остановленный и отключенный служба управления Основ Windows Server (WseMgmtSvc) и универсальные неудавшиеся входы в систему не продолжались.

Я перепроверил это служба управления Основ Windows Server (WseMgmtSvc) ответственно за эти универсальные неудавшиеся входы в систему путем отключения его в течение нескольких дней и не было никаких универсальных неудавшихся входов в систему и включения его в течение нескольких дней и были тысячи универсальных неудавшихся входов в систему.

Обновление 08.10.2015 9:06:

07.10.2015 в 16:42 я нашел следующую запланированную задачу:

• Имя: "Аварийные оценки"
• Местоположение: "основы сервера \Microsoft\Windows\Windows"
• Автор: "Microsoft Corporation"
• Описание: "Эта задача периодически оценивает рабочее состояние компьютера".
• Учетная запись: "СИСТЕМА"
• Триггеры: "В 8:54 на 28.10.2014 - После того, как инициировано, повторитесь каждые 30 минут неограниченно долго"
• Действия: "Запустите программу: C:\Windows\System32\Essentials\RunTask.exe/asm: "C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll"/class:Microsoft. WindowsServerSolutions. NetworkHealth. AlertFramework. Задача HealthScheduledTask/method:evaluatealertstaskaction/: "Аварийные Оценки""

Этот период времени почти точно соответствует поведению выше так, я отключил его, чтобы видеть, влияет ли оно на проблему.

08.10.2015 в 8:57 я нашел, что только 47 из этих универсальных неудавшихся входов в систему были зарегистрированы с тех пор в неправильных интервалах.

Так, я сузил его еще больше.