An account failed to log on.
Subject:
Security ID: S-1-0-0
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: xyzuser
Account Domain: srkt
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: Compname
Source Network Address: ipv4
Source Port: Randomhignumberport
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Это событие создается при сбое запроса входа в систему. Он создается на компьютере, на котором была предпринята попытка доступа. В полях «Тема» указывается учетная запись в локальной системе, которая запросила вход. Чаще всего это служба, такая как служба сервера, или локальный процесс, например Winlogon.exe или Services.exe. Поле «Тип входа» указывает тип запрошенного входа в систему. Наиболее распространены типы 2 (интерактивный) и 3 (сетевой). В полях «Информация о процессе» указано, какая учетная запись и процесс в системе запросили вход. Поля информации о сети указывают, откуда исходит запрос удаленного входа в систему. Имя рабочей станции не всегда доступно и в некоторых случаях может быть оставлено пустым. Поля информации для аутентификации предоставляют подробную информацию об этом конкретном запросе на вход.
Имя пользователя отделено от нашей компании и удалено из AD. Он пытается связаться с файловым сервером. Он получает эту ошибку и пытается снова. За еженедельный период ведется более 10 000 логов. Каждый раз пробовал через случайные порты, в интернете ничего не нашел.
Как я могу это исправить?
Сообщение об ошибке из события гласит: «Неизвестное имя пользователя или неверный пароль», подтверждающее, что пользователь либо не существует, либо что пользователь вошел в систему с неправильным паролем (это немного общее, должны быть другие события, которые регистрируются вокруг в то же время, что подтвердит, что пользователь действительно был удален).
Это событие просто указывает, что удаленный пользователь пытается подключиться к серверу через сетевое соединение. Тот факт, что соединения идут со случайных удаленных портов, вполне ожидаемо, это нормальное поведение.
Я могу придумать 3 причины, по которым вы это получаете:
У пользователя все еще открыт сеанс где-то в сети, например через терминальный сервер или аналогичный.
С пользователем связана служба или запланированная задача, хотя обычно это приводит к кодам ошибок, отличным от (3).
У пользователя каким-то образом все еще есть доступ к сети (VPN?), А диск на его ноутбуке все еще подключен к вашему серверу.
Учитывая большое количество генерируемых событий, маловероятно, что у пользователя есть гнусные намерения.
У вас есть IP-адрес на тот случай, если бы вы хотя бы знали, откуда происходит вход? Это тоже должно прояснить ситуацию.