web-dev-qa-db-ja.com

2008r2サーバーに不正なパスワードの試行を送信しているWindows7ドメインユーザーのソースを見つけるにはどうすればよいですか?

パスワードの試行が間違っているために、どのユーザーが常にロックアウトされているかを知っています。ユーザーは自分のマシンからのみアクセスしています(古い古いmsアカウントロックアウトツールなどを使用してこれを見つけます)これらのソースが何であるかわからない問題のコンピューター上で。彼らのコンピュータがただそこに座って何もしていないときでさえ、それは起こります。 (彼らはプログラムを開いているかもしれませんが、彼らへのリモートデスクトップやワークステーションに座っている生きている人はいない)

DC約15〜30分ごとに送信されるようですが、ユーザーによって異なります。ロックアウト番号を20にリセットして、常にロックアウトされないようにしましたが、本当の解決策を見つけたいのですが。

スケジュールされたタスクはまったく実行されていません。すべてのドライブのマップを解除し、再マップしました。それらが整っていたとしても、とにかく1時間で多くの試みを引き起こすのは奇妙に思えます。

すべてのマシンは最新の更新プログラムを備えたWindows7であり、ウイルス、マルウェア、スパイウェアスキャナーを実行しましたが何も見つかりませんでした。

RackspaceでHostedExchangeアカウントを持っているため、DCに接続されていません。 (ここで何かが足りない場合を除いて)

1
Matt

Server 2008で動作するかどうかはわかりませんが、Microsoftには、この種の動作を追跡するためのServer2003用のツールがいくつかあります。

これらはアカウントロックアウトツールと呼ばれ、 http://www.Microsoft.com/en-us/download/details.aspx?id=18465 からダウンロードするか、-で読むことができます。 http://technet.Microsoft.com/en-us/library/cc738772(v = ws.10).aspx

ツールの1つは、ドメインコントローラーのイベントログをスキャンして監査の失敗を探し、要求を開始したデバイスの名前を報告します。

1
sgmoore
  1. 影響を受けたユーザーのマシンのイベントログを確認してください。幸運にも、そこで失敗した試行が見つかる可能性があります。
  2. ユーザーにボランティアをしてもらい、問題が再現されるまで自分のマシンでProcessMonitorを実行します。 http://technet.Microsoft.com/en-us/sysinternals/bb896645 (ディスクへのログ記録をオンにし、ディスクからファイルを取得するなど)
  3. 数人のユーザーにインタビューして、すべてのユーザーが実行しているプログラムがあるかどうかを確認する場合があります。おそらく、パスワードなどを覚えているプログラムです。最近、全員がパスワードを変更しましたか?
  4. いずれかのマシンで Netmon (新しいバージョンがある可能性がありますが、わかりません)を実行し、ネットワークトラフィックを調べて、ログオン試行を送信しているプロセスを特定する必要がある場合があります。
1
Mark Allen

これらの記事は、アカウントのロックアウトを追跡する方法の例です。

これらの助けを願っています。

http://teachnovice.com/527/account-lockout-on-windows-2003-2008-dc

http://teachnovice.com/894/user-account-lockout-everyday-windows-7-windows-2008-r2

1
user1561124

Outlook 2010です。このプログラムだけを開いて閉じたユーザーがいて、サーバーに接続するのに数秒かかりました。その後、(アカウントロックアウトツールから)Lockoutstatusを実行すると、すべての「不正なパスワード」が正確に一致しました。彼がOutlookを開いた時間。それは、1回だけではなく、オープニングごとに3〜5回の「悪い試み」でした。

ただし、Rackspace Hosted Exchange2010を使用しています。ドメインコントローラーでのログインと同じ[email protected]を使用します。だから、私は[email protected]で、DC asmatt.hughesとしてログオンします。

0
Matt