Назад | Перейти на главную страницу

Как интерпретировать события ID 4624 типа 3 на контроллере домена?

Я вижу много событий ID 4624 (тип входа 3) на контроллере домена (Windows Server 2012), и мне интересно, что эти события хотят сказать мне.

Я читал, что события 4624 типа 3 на контроллере домена говорят о том, что произошел сетевой вход в домен AD, но я не понимаю, что означает исходный сетевой адрес. Это источник входа в систему или цель, в которую пользователь хочет войти?

Проверка записей PTR и привязка сайта к подсети

Если вы хотите видеть сетевой адрес в журнале событий, вы можете исправить две вещи.

1. На DNS-сервере убедитесь, что у вас есть зона обратного просмотра. Если нет, создайте его с сетевым адресом подсети вашего хоста.

2. Откройте сайты и службы Active Directory. Разверните "Сайты> Подсети". Убедитесь, что подсеть создана с сетевым адресом CIDR для подсети и что она привязана к сайту, который существует в этой подсети (той, в которой находится ваш DC).

3. На контроллере домена откройте командную строку администратора и введите ipconfig / registerdns.

Теперь вы должны увидеть, что запись PTR для вашего DC - это новая зона обратного просмотра DNS. Если у вас есть дополнительные подсети с хостами, создайте зоны обратного просмотра для этих хостов.

Информационное событие «ID 4624 Events (Logon Type 3)» теперь должно отображать подсеть. Событие типа 3 - это когда клиент обращается к общим ресурсам netlogon и / или sysvol для сценариев входа в систему или перечисления групповой политики и приложения.

Исходным сетевым адресом может быть адрес, с которого исходил запрос, но это может быть локальный хост или средство, с помощью которого исходная информация не включается.

Возможно, вы уже сталкивались с этим, но следующее включает много деталей, а также некоторые полезные подходы к аудиту:

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624

надеюсь, это поможет