web-dev-qa-db-ja.com

追跡不可能なADアカウントのロックアウトの追跡

ユーザー(これを「ユーザー名」と呼びます)がロックアウトされ続けますが、その理由はわかりません。別の不正なパスワードが20分ごとにドットに記録されます。

PDC Emulator DC is running Server 2008 R2 Std。イベントID 4740がログアウトのためにログに記録されますが、発信者のコンピューター名が空白です:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/29/2015 4:18:14 PM
Event ID:      4740
Task Category: User Account Management
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      FQDNofMyPDCemulatorDC
Description:
A user account was locked out.

Subject:
    Security ID:        SYSTEM
    Account Name:       MyPDCemulatorDC$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Account That Was Locked Out:
    Security ID:        MYDOMAIN\username
    Account Name:       username

Additional Information:
    Caller Computer Name:   

ロックアウト元DCはIAS(RADIUS)を実行しているServer 2003を実行しています。そのセキュリティログにはアカウントロックアウトに対応するイベントが含まれていますが、もちろんソース(呼び出し元のマシン名)もありません:

Event Type: Success Audit
Event Source:   Security
Event Category: Account Management 
Event ID:   644
Date:       5/29/2015
Time:       4:18:14 PM
User:       NT AUTHORITY\SYSTEM
Computer:   MyRadiusDC
Description:
User Account Locked Out:
    Target Account Name:    username
    Target Account ID:  MYDOMAIN\username
    Caller Machine Name:    
    Caller User Name:   MyRadiusDC$
    Caller Domain:      MYDOMAIN
    Caller Logon ID:    (0x0,0x3E7)

ロックアウトOrigin DCでNetLogonデバッグロギングが有効になっていて、ログ(C:\ WINDOWS\debug\Netlogon.log)に不正なパスワードが原因で失敗したログインが示されているが、ソースは示されていない2つのスペースによって、スペースの間にログオン試行のソースがあります):

05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from  Entered
05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from  Returns 0xC000006A

IASログ(C:\ WINDOWS\system32\LogFiles\IN ######。log)には、過去2日間のこのユーザーからのRADIUS接続が表示されません。

私が息が切れるまでマイクロソフトを呪う以外に、ここからどこへ行くのが難しいのか私にはわかりません。より生産的であるかもしれないアイデアを誰かが持っていますか? :-D

5
Fëanor

私はこれについて正確にマイクロソフトとの電話を終えたばかりなので、うまくいけば次の情報が役立つでしょう:)

認証の試行はいくつかの場所で発生する可能性があります。特に、ワイヤレス接続にPEAP認証を使用している場合、認証ネゴシエーションもEAPHostサービスを通じて発生します。

私が見つけたEAPHostサービスには素晴らしい認証ログがない(実際には悲惨です-トレースファイル)ので、何らかの理由でEAPHostで認証が失敗した場合、認証失敗の試みは、イベントログのやや一般的な認証イベントIDを使用してログに記録され、すべてIASログにあります。

私たちが発見したのは、新しく構築されたRADIUSサーバーは、実稼働システムよりもIASログにはるかに多くの情報を記録していたことです。アカウンティング情報(ウィザードのすべてのボックスにチェックマークを付けてください!)、サービスを再起動すると、MACアドレスやSSIDなどの欠落しているIASイベントがIASログファイルに記録されていることがわかりました。

これが役立つことを願っています:)

1
Ben Short