何度も頻繁にロックアウトされるADユーザーアカウントがありますが、ExchangeサーバーのCASアレイへのロックアウトを追跡できました。しかし、どうやって捜査を続けるか迷っている。 Exchange(2013)サーバーのイベントログは、ロックアウトがmsExchangeFrontEndTransport.exeから送信されたことを示していますが、元の認証要求の送信元を示していません。私は本当に次のいずれかを知りたいです(より良い方):認証IP /コンピューター名のソース、認証方法のソース(ウェブメール、ActiveSync、Outlookクライアントなど)。
私が調査できたものからのイベントログは、不正な認証要求の発生ポイントを追跡するのに役立つものを何も示していません。ある時点ですべてのユーザーのデバイスの電源を切り、ロックアウトがまだ発生しているため、ユーザーのポータブルデバイスを除外したことは90%確信しています。 。回避策としてユーザーアカウントの名前を変更しましたが、セキュリティ上の理由から、これがどこからのものかを特定したいと思います。このように苦しんでいるのはこれだけです。どんなアイデアでも大歓迎です!
正しい方向を示すIIS CASサーバーのログを参照してください。一般的な問題は、古いパスワードで接続しようとする複数のデバイスを持つユーザーがロックアウトすることですアカウントですが、悪用される可能性があります。
2012-01-10 14:42:26 172.32.22.12 POST /Microsoft-Server-ActiveSync/default.eas User=ratishnair&DeviceId=Appl8xxxxx4S&DeviceType=iPhone&Cmd=FolderSync&Log=PrxFrom:10.123.33.88_Error:BackingOffMailboxServer_ 443 CONTOSO\CAS01$ 10.123.33.88Apple-iPhone3C1/901.405 503 0 0 765
http://msexchangeguru.com/2012/02/01/exchange-ActiveSync/ から引用されたログエントリ
クライアントIP、ユーザー名、デバイスが表示されます。