Трассировка непрослеживаемых AD локаутов учетной записи
Пользователь (мы назовем их 'именем пользователя'), продолжает быть заблокированным, и я не знаю почему. Другой неверный пароль зарегистрирован каждые 20 минут минута в минуту.
DC Эмулятора PDC выполняет Станд. R2 Сервера 2008 года. Идентификатор события 4740 зарегистрирован для локаута, но Имя компьютера Вызывающей стороны является пробелом:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/29/2015 4:18:14 PM
Event ID: 4740
Task Category: User Account Management
Level: Information
Keywords: Audit Success
User: N/A
Computer: FQDNofMyPDCemulatorDC
Description:
A user account was locked out.
Subject:
Security ID: SYSTEM
Account Name: MyPDCemulatorDC$
Account Domain: MYDOMAIN
Logon ID: 0x3e7
Account That Was Locked Out:
Security ID: MYDOMAIN\username
Account Name: username
Additional Information:
Caller Computer Name:
DC источника локаута выполняет Server рабочий IAS 2003 года (RADIUS). Его журнал безопасности содержит соответствующее событие для локаута учетной записи, но конечно он также пропускает источник (Название Машины Вызывающей стороны):
Event Type: Success Audit
Event Source: Security
Event Category: Account Management
Event ID: 644
Date: 5/29/2015
Time: 4:18:14 PM
User: NT AUTHORITY\SYSTEM
Computer: MyRadiusDC
Description:
User Account Locked Out:
Target Account Name: username
Target Account ID: MYDOMAIN\username
Caller Machine Name:
Caller User Name: MyRadiusDC$
Caller Domain: MYDOMAIN
Caller Logon ID: (0x0,0x3E7)
Вход Отладки NetLogon включен на DC источника локаута, и журнал (C:\WINDOWS\debug\Netlogon.log) показывает неудавшиеся логины из-за неверного пароля, но не источника (Вы видите, где он говорит 'от' сопровождаемого двумя пробелами, промежуточными, пробелы должны быть источником попытки входа в систему):
05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from Entered
05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from Returns 0xC000006A
Журналы IAS (C:\WINDOWS\system32\LogFiles\IN######.log) не показывают соединений RADIUS от этого пользователя за прошедшие 2 дня.
Я не знаю, где heck для движения отсюда кроме проклясть Microsoft, пока я не запыхался. У кого-либо есть какие-либо идеи, которые могли бы быть более продуктивными?:-D
Я только что закончил разговор с Microsoft по этому поводу, поэтому, надеюсь, следующая информация поможет:)
Попытки аутентификации могут происходить в нескольких местах, особенно если вы при использовании аутентификации PEAP для беспроводных подключений согласование аутентификации также происходит через службу EAPHost.
Служба EAPHost, которую я обнаружил, не имеет фантастического журнала аутентификации (на самом деле это ужасно - файл трассировки), поэтому, если по какой-либо причине аутентификация в EAPHost не удалась, попытка сбоя аутентификации регистрируется с использованием несколько общих идентификаторов событий аутентификации в журнале событий и вообще ничего в журналах IAS.
Мы действительно обнаружили, что недавно построенный сервер RADIUS регистрировал гораздо больше информации в журналах IAS, чем наш в производственная система. Я провел перенастроенное ведение журнала через журнал конфигурации, чтобы включить учетную информацию (отметьте все поля в мастере!), Перезапустил службу и обнаружил, что все отсутствующие события IAS теперь регистрируются, включая MAC-адреса и SSID, в файлы журнала IAS.
Надеюсь, это поможет :)