Хлопают AD Контроллерами домена
Я лично не хотел бы, чтобы разработчик бездельничал с IIS, особенно если бы это означало, что это могло бы вызвать проблемы с другим приложением с другим разработчиком, имеющим необходимость диагностировать, вперед и вперед.
Если существуют проблемы IIS, сделали, чтобы SysAdmin изучил его, и если существует проблема с конкретным приложением, передайте его обратно dev. Если dev имеет проблему, принесите ему до SysAdmin, который может затем попытаться сделать обоснованное решение относительно того, внести ли какие-либо изменения и выяснить, как он будет влиять на всех.
Необходимо настроить брандмауэр периметра, чтобы не позволить невнутреннему IP получать доступ контроллерам домена (откровенно, они не должны получать доступ ни к каким системам на внутреннем IP, они должны перейти к демилитаризованной зоне). Если Вы не добираетесь, IP в конечном счете регистрируется, можно хотеть получить пакеты и определить источник этих нападений.
Первая вещь, которую я сделал бы, разъединить Ваше интернет-соединение, пока у Вас нет некоторой безопасности на месте. По крайней мере, это остановит Ваши локауты учетной записи.
Предложение David блокирования всего доступа к внутреннему IP и затем реализация DNZ состоит в том, чтобы, вероятно, исправить способ продолжиться.
У меня нет системы 2008 года для вручения, но брандмауэр XP (и брандмауэр Сервера 2003) имеют опцию блокировать доступ к нелокальным учетным записям. Потребуется некоторая настройка, но это там. Просто необходимо включить его. В зависимости от сложности Вашей сети Вы, возможно, должны указать netblock, а не использовать поле щелчка "локальной сети", иначе Ваш DC не сможет говорить с другим DC или зарегистрировать законных пользователей в.
То, что у них есть законные имена для входа в систему, предлагает, чтобы у Вас была стоящая с Интернетом поверхность, где они смогли вытянуть эти данные. Возможно, Ваши порты Global Catalog видимы. С этим, предназначаясь для нападения намного легче.
Перейдите к своей политике брандмауэра в отношении Ваших контроллеров домена и настройте их для отбрасывания всего трафика, который не прибывает из внутренней сети.
Если Вам абсолютно нужен некоторый входящий внешний трафик (например, Вы - малый бизнес и выполняете SBS, или RRAS) затем позволяют порты, которых они требуют в зависимости от конкретного случая.
Эта страница запустит Вас при конфигурировании соответствующего брандмауэра на Вашем сервере 2008:
http://technet.microsoft.com/en-us/network/bb531150.aspx
и если Вы хотите перейти прямо в интерфейс:
http://technet.microsoft.com/en-us/library/cc730971 (WS.10) .aspx (SF повреждает URL немного),