Пользователь (назовем его "имя пользователя") постоянно блокируется, и я не знаю почему. Еще один неверный пароль записывается каждые 20 минут.
Эмулятор PDC Emulator DC работает под управлением Server 2008 R2 Std. Событие с кодом 4740 регистрируется для блокировки, но имя компьютера вызывающего абонента остается пустым:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/29/2015 4:18:14 PM
Event ID: 4740
Task Category: User Account Management
Level: Information
Keywords: Audit Success
User: N/A
Computer: FQDNofMyPDCemulatorDC
Description:
A user account was locked out.
Subject:
Security ID: SYSTEM
Account Name: MyPDCemulatorDC$
Account Domain: MYDOMAIN
Logon ID: 0x3e7
Account That Was Locked Out:
Security ID: MYDOMAIN\username
Account Name: username
Additional Information:
Caller Computer Name:
Исходный контроллер домена блокировки работает под управлением Server 2003 с IAS (RADIUS). Его журнал безопасности содержит соответствующее событие для блокировки учетной записи, но, конечно же, в нем также отсутствует источник (имя вызывающего компьютера):
Event Type: Success Audit
Event Source: Security
Event Category: Account Management
Event ID: 644
Date: 5/29/2015
Time: 4:18:14 PM
User: NT AUTHORITY\SYSTEM
Computer: MyRadiusDC
Description:
User Account Locked Out:
Target Account Name: username
Target Account ID: MYDOMAIN\username
Caller Machine Name:
Caller User Name: MyRadiusDC$
Caller Domain: MYDOMAIN
Caller Logon ID: (0x0,0x3E7)
Ведение журнала отладки NetLogon включено на исходном контроллере домена блокировки, и журнал (C: \ WINDOWS \ debug \ Netlogon.log) показывает неудачные попытки входа в систему из-за неверного пароля, но не источник (вы можете увидеть, где написано 'from', а затем двумя пробелами, между пробелами должен быть источник попытки входа в систему):
05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from Entered
05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from Returns 0xC000006A
Журналы IAS (C: \ WINDOWS \ system32 \ LogFiles \ IN ######. Log) не показывают никаких RADIUS-соединений от этого пользователя за последние 2 дня.
Я не знаю, куда деваться отсюда, кроме как проклинать Microsoft, пока я не запыхусь. Есть ли у кого-нибудь идеи, которые могли бы быть более продуктивными? :-D
Я только что закончил разговор с Microsoft по этому поводу, так что надеюсь, следующая информация поможет :)
Попытки аутентификации могут происходить в нескольких точках, и особенно если вы используете аутентификацию PEAP для беспроводных соединений, согласование аутентификации также происходит через службу EAPHost.
Служба EAPHost, которую я обнаружил, не имеет фантастического журнала аутентификации (на самом деле это ужасно - файл трассировки), поэтому, если по какой-либо причине аутентификация не выполняется в EAPHost, попытка сбоя аутентификации регистрируется с использованием несколько общих идентификаторов событий аутентификации в журнале событий и ничего при все в журналах IAS.
Что мы действительно обнаружили, так это то, что недавно построенный сервер RADIUS регистрировал в журналах IAS гораздо больше информации, чем наша производственная система. Я провел перенастроенное ведение журнала через журнал конфигурации, чтобы включить учетную информацию (отметьте все флажки в мастере!), Перезапустил службу и обнаружил, что все отсутствующие события IAS теперь регистрируются, включая MAC-адреса и SSID, в файлы журнала IAS.
Надеюсь, это поможет :)