У меня есть учетная запись пользователя AD, которая многократно и часто блокируется, я смог отследить блокировку до массива CAS сервера Exchange. Однако я не знаю, как продолжить расследование. Журналы событий на серверах Exchange (2013) показывают, что блокировка была получена из msExchangeFrontEndTransport.exe, но не указывает, из какого источника был получен исходный запрос аутентификации. Я действительно хотел бы знать любое из следующего (чем больше, тем лучше): источник аутентификации IP / имя компьютера, источник метода аутентификации (например, веб-почта, activesync, клиент Outlook и т. Д.).
Журнал событий из того, что мне удалось раскопать, не указывает ничего, что могло бы помочь отследить точку происхождения неправильного запроса аутентификации. Я на 90% уверен, что исключил любое из портативных устройств пользователя, так как в какой-то момент мы отключили все устройства пользователя, и блокировка все еще произошла, это происходит уже несколько недель с более чем 600 попытками аутентификации в день. . Я переименовал учетную запись пользователя в качестве обходного пути, но я действительно хочу определить, откуда это происходит, в целях безопасности. Это единственный аккаунт, который страдает подобным образом. Благодарим за любую идею!
Посмотрите журналы IIS на сервере CAS, они укажут вам правильное направление. Распространенная проблема - это пользователь с несколькими устройствами, которые пытаются подключиться с устаревшим паролем и заблокировать учетную запись. Однако это могло быть злоупотреблением.
2012-01-10 14:42:26 172.32.22.12 POST /Microsoft-Server-ActiveSync/default.eas User=ratishnair&DeviceId=Appl8xxxxx4S&DeviceType=iPhone&Cmd=FolderSync&Log=PrxFrom:10.123.33.88_Error:BackingOffMailboxServer_ 443 CONTOSO\CAS01$ 10.123.33.88Apple-iPhone3C1/901.405 503 0 0 765
Запись в журнале процитирована из http://msexchangeguru.com/2012/02/01/exchange-activesync/
Это показывает IP-адрес клиента, имя пользователя и устройство.