W 3 oddzielnych systemach następujące zdarzenie jest rejestrowane wiele razy (od 30 do 4000 razy dziennie, w zależności od systemu) na serwerze kontrolera domeny:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: %domainControllerHostname%$
Account Domain: %NetBIOSDomainName%
Logon ID: 0x3E7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x1ec
Caller Process Name: C:\Windows\System32\lsass.exe
Network Information:
Workstation Name: %domainControllerHostname%
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Schannel
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
To wydarzenie różni się nieco od wszystkich innych, które znalazłem podczas badań, ale ustaliłem, co następuje:
Event ID: 4625
. „Nie można się zalogować na konto” .Logon Type: 3
. „Sieć (tj. Połączenie z folderem współdzielonym na tym komputerze z innego miejsca w sieci)” .Security ID: NULL SID
. „Nie zidentyfikowano ważnego konta” .Sub Status: 0xC0000064
. „Nazwa użytkownika nie istnieje” .Caller Process Name: C:\Windows\System32\lsass.exe
. Usługa podsystemu Local Security Authority (LSASS) to proces w systemach operacyjnych Microsoft Windows, który jest odpowiedzialny za egzekwowanie zasad bezpieczeństwa w systemie. Weryfikuje użytkowników logujących się na komputerze lub serwerze z systemem Windows, obsługuje zmiany haseł i tworzy tokeny dostępu. Zapisuje także w dzienniku zabezpieczeń systemu Windows.Workstation Name: SERVERNAME
. Żądanie uwierzytelnienia jest przesyłane przez sam kontroler domeny lub za jego pośrednictwem.
Podobieństwa systemów, których dotyczy problem:
- System operacyjny serwera: Windows Small Business Server 2011 lub Windows Server 2012 R2 Essentials
- Komputerowy system operacyjny: Windows 7 Professional (ogólnie)
Różnice w systemach, których dotyczy problem:
- Antywirusowe
- Filtrowanie Internetu zintegrowane z Active Directory
- Logowanie do pamięci podręcznej na pulpicie
- Role (wymiana, tworzenie kopii zapasowych itp.)
Kilka interesujących rzeczy, które zauważyłem w najbardziej dotkniętym systemie:
- Niedawno rozpoczęliśmy synchronizację haseł kont użytkowników usługi Active Directory i Office 365 za pomocą integracji Office 365 systemu Windows Server 2012 R2 Essentials. Integracja wymaga eskalacji hasła administratora Office 365 i zasad bezpieczeństwa. Synchronizacja wymaga przypisania każdego konta użytkownika do odpowiedniego konta Microsoft online, co wymaga zmiany hasła do konta przy następnym logowaniu. Dodaliśmy również ich podstawową domenę e-mail jako sufiks UPN w domenach i relacjach zaufania w usłudze Active Directory i zmieniliśmy UPN wszystkich kont użytkowników na ich domenę e-mail. W efekcie pozwoliło im to zalogować się do domeny i Office 365 przy użyciu adresu e-mail i hasła. Jednak od tego czasu liczba dziennych zdarzeń wzrosła z ~ 900 do ~ 3900. Uwaga:
- Wydaje się, że większość zdarzeń jest rejestrowana w regularnych odstępach czasu, zwykle co 30 lub 60 minut, z wyjątkiem ~ 09: 00, czyli kiedy użytkownicy przybywają do pracy: 2015/07/02 18:55
2015/07/02 19:25
2015 /
07/02 19:54 2015/07/02 20:25
2015/07/02 20:54
2015/07/02 21:25
2015/07/02 22:24
2015/07/02 23:25
2015/07 / 03 00:25
2015/07/03 01:24
2015/07/03 01:55
2015/07/03 02:24
2015/07/03 02:55
2015/07/03 03:55
2015/07/03 04:55
2015/07/03 05:54
2015/07/03 06:25
2015/07/03 07:25
2015/07/03 08:24
2015/07/03 08:27
2015/07/03 08: 49
2015/07/03 08:52
2015/07/03 08:54
2015/07/03 08:56
2015/07/03 08:57
2015/07/03 09:00
2015/07/03 09:01
2015/07/03 09:03
2015/07/03 09:06
2015 /
07/03 09:08 2015/07/03 09:10
2015/07/03 09:12
2015/07/03 09:13
2015/07/03 09:17
2015/07/03 09:13 2015/07
/ 03 09:25
2015/07/03 10:24
2015/07/03 11:25 Następujące zdarzenie jest rejestrowane na serwerze usług terminalowych / zdalnych usług pulpitu, chociaż nigdy nie jest tak wiele razy:
An account failed to log on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: %terminalServerHostname% Account Domain: %NetBIOSDomainName% Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xC000006D Sub Status: 0xC0000064 Process Information: Caller Process ID: 0x0 Caller Process Name: - Network Information: Workstation Name: %terminalServerHostname% Source Network Address: %terminalServerIPv6Address% Source Port: %randomHighNumber% Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted. The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network). The Process Information fields indicate which account and process on the system requested the logon. The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases. The authentication information fields provide detailed information about this specific logon request. - Transited services indicate which intermediate services have participated in this logon request. - Package name indicates which sub-protocol was used among the NTLM protocols. - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Podsumowując, zdecydowanie wydaje się, że jest to związane z dostępem do sieci z komputerów stacjonarnych korzystających z kont użytkowników, ale nie widzę, jak to zrobić.
Aktualizacja 2015/08/25 08:48:
W najbardziej dotkniętym systemie wykonałem następujące czynności, aby wyizolować problem i po każdym cofnięciu zmiany:
- Zamknij serwer usług terminalowych / usług pulpitu zdalnego, a ogólne niepowodzenia logowania nie powiodły się .
- Odłączono serwer kontrolera domeny od sieci, a ogólne niepowodzenia logowania nie powiodły się .
- Zrestartowano serwer w trybie awaryjnym bez sieci, a ogólne nieudane logowania nie były kontynuowane.
- Zatrzymane i wyłączone wszystkie „zbędne” usługi (monitorowanie agenta, kopii zapasowej, sieć integracji filtrujący TeamViewer, antywirusowe, itp) i generyczne nieudane logowania nie kontynuować.
- Zatrzymany i niepełnosprawnych usługi Windows Server Essentials (
WseComputerBackupSvc
,WseEmailSvc
,WseHealthSvc
,WseMediaSvc
,WseMgmtSvc
, iWseNtfSvc
) oraz ogólne nieudane logowania nie kontynuować. - W końcu zatrzymał i wyłączył usługę zarządzania Windows Server Essentials (
WseMgmtSvc
), a ogólne niepowodzenia logowania nie powiodły się .
Dokładnie sprawdziłem, czy usługa zarządzania systemem Windows Server Essentials ( WseMgmtSvc
) jest odpowiedzialna za te ogólne nieudane logowania, wyłączając je na kilka dni i nie było żadnych ogólnych nieudanych logowań i włączono je na kilka dni oraz tysiące ogólnych nieudanych logowań .
Aktualizacja 2015/10/08 09:06:
W dniu 2015/10/07 o 16:42 znalazłem następujące zaplanowane zadanie:
- Nazwa: „Oceny alertów”
- Lokalizacja: „\ Microsoft \ Windows \ Windows Server Essentials”
- Autor: „Microsoft Corporation”
- Opis: „To zadanie okresowo ocenia stan komputera.”
- Konto: „SYSTEM”
- Wyzwalacze: „O 8:54 w dniu 28.10.2014 - Po uruchomieniu powtarzaj co 30 minut w nieskończoność”
- Działania: „Uruchom program: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll” /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / method: EvaluateAlertsTaskAction / task: "Alert Evaluations" "
Ten przedział czasu prawie dokładnie odpowiada powyższemu zachowaniu, więc go wyłączyłem, aby sprawdzić, czy ma to wpływ na problem.
W dniu 2015/10/08 o 08:57 stwierdziłem, że tylko 47 z tych ogólnych nieudanych logowań było zalogowanych, ponieważ w nieregularnych odstępach czasu.
Więc zawęziłem to jeszcze bardziej.