Я узнал небольшое количество записей Event 4625 со статусом 0x80090308 и подстатусом 0x0; 2% по всем 4625 годам.
По сути, это неудачный вход в систему, но без какой-либо информации, которую я мог бы использовать для дальнейшего изучения. И это то, что привлекает мое внимание. Не знаю, что это и откуда. Единственное общее - это то, что он приходит каждый раз из одного и того же DC из четырех.
С помощью procmon.exe я попытался привязать его к определенному подключению с удаленного ресурса (тип входа 3), но все подключения и действия в такой конкретный период времени имели в procmon флаг успешного.
Код состояния 0x80090308, похоже, нигде не задокументирован.
Кто-нибудь еще сталкивался с этим кодом ошибки и может иметь представление, где искать?
Спасибо, S-L
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: An error has occured during logon
Status: 0x80090308
Sub Status: 0x0
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name:
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process:
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0