Несмотря на то, что пользователь подключается через VPN и создает идентификаторы событий 4776, 4648, 4624 и 4634 на контроллере домена, в атрибутах пользователей Active Directory lastlogon и lastlogontimestamp все еще остаются пустыми или не заданными. Этот пользователь фактически не входит в систему, потому что он не может пройти двухфакторную аутентификацию в аутентификаторе VPN, но я просто не могу понять, почему эти успешные события входа в систему регистрируются в контроллере домена. Какой идентификатор события обновляет эти значения? Спасибо.
Эти значения не обновляются при доступе к VPN. Они обновляются при локальном входе в систему на компьютере домена.
lastlogon специфичен для DC и не реплицируется через AD. lastlogontimestamp реплицируется, но обновляется только в том случае, если ему больше 14 дней (он предназначен для поиска устаревших учетных записей AD).
Вы можете использовать парсер файлов журнала для интерпретации журналов на всех контроллерах домена.