В 3 отдельных системах следующее событие регистрируется много раз (между 30 - 4 000 раз в день в зависимости от системы) на сервере контроллера домена:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: %domainControllerHostname%$
Account Domain: %NetBIOSDomainName%
Logon ID: 0x3E7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x1ec
Caller Process Name: C:\Windows\System32\lsass.exe
Network Information:
Workstation Name: %domainControllerHostname%
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Schannel
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Это событие немного отличается всем другим, что я нашел во время исследования, но я определил следующее:
Event ID: 4625
. "Учетной записи не удалось войти в систему".Logon Type: 3
. "Сеть (т.е. соединение с совместно используемой папкой на этом компьютере откуда-либо в сети)".Security ID: NULL SID
. "Действительная учетная запись не была определена".Sub Status: 0xC0000064
. "Имя пользователя не существует".Caller Process Name: C:\Windows\System32\lsass.exe
. Сервис подсистемы полномочий локальной защиты (LSASS), процесс в операционных системах Microsoft Windows, который ответственен за осуществление политики безопасности в системе. Это проверяет пользователей, входящих в систему компьютера Windows или сервера, обрабатывает изменения пароля и создает маркеры доступа. Это также пишет в Журнал безопасности Windows.Workstation Name: SERVERNAME
. Запрос аутентификации отправляется или через сам контроллер домена.Общие черты затронутых систем:
Различия затронутых систем:
Некоторые интересные вещи я заметил в наиболее сильно затронутой системе:
Следующее событие зарегистрировано терминал / сервер служб удаленного рабочего стола хотя нигде рядом как много раз:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: %terminalServerHostname%
Account Domain: %NetBIOSDomainName%
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: %terminalServerHostname%
Source Network Address: %terminalServerIPv6Address%
Source Port: %randomHighNumber%
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Так, таким образом, это определенно, кажется, связано с доступом к сети от учетных записей пользователей штата использования настольных компьютеров, но я не вижу как.
Обновление 25.08.2015 8:48:
В наиболее сильно затронутой системе я сделал следующее для изоляции проблемы и после того, как каждый вернулся изменение:
WseComputerBackupSvc
, WseEmailSvc
, WseHealthSvc
, WseMediaSvc
, WseMgmtSvc
, и WseNtfSvc
) и универсальные неудавшиеся входы в систему не продолжались.WseMgmtSvc
) и универсальные неудавшиеся входы в систему не продолжались.Я перепроверил это служба управления Основ Windows Server (WseMgmtSvc
) ответственно за эти универсальные неудавшиеся входы в систему путем отключения его в течение нескольких дней и не было никаких универсальных неудавшихся входов в систему и включения его в течение нескольких дней и были тысячи универсальных неудавшихся входов в систему.
Обновление 08.10.2015 9:06:
07.10.2015 в 16:42 я нашел следующую запланированную задачу:
Этот период времени почти точно соответствует поведению выше так, я отключил его, чтобы видеть, влияет ли оно на проблему.
08.10.2015 в 8:57 я нашел, что только 47 из этих универсальных неудавшихся входов в систему были зарегистрированы с тех пор в неправильных интервалах.
Так, я сузил его еще больше.
Это событие обычно вызвано просроченной скрытой учетной записью. Попробуйте попробовать из системы, выдавшей ошибку:
Из командной строки: psexec -i -s -d cmd.exe
From the new cmd window run: rundll32 keyymgr.dll,KRShowKeyMgr
Удалить все элементы, которые появляются в списке сохраненных имен пользователей и паролей. Перезагрузите компьютер.