Temos uma conta de domínio que está sendo bloqueada por meio de um dos dois servidores. A auditoria interna apenas nos diz isso (bloqueada de SERVER1, SERVER2).
A conta é bloqueada em 5 minutos, aproximadamente 1 solicitação por minuto.
Eu inicialmente tentei executar o procmon (do sysinternals) para ver se algum novo PROCESS START estava sendo gerado depois que eu desbloqueiei a conta. Nada suspeito surge. Depois de executar o procmon na minha estação de trabalho e elevar para um shell do UAC (conscent.exe), parece que da pilha que ntdll.dll
e rpct4.dll
são chamados quando você tenta autenticar no AD (não tenho certeza).
Existe alguma maneira de restringir qual processo está causando uma solicitação de autenticação ao nosso DC? É sempre o mesmo DC, então sabemos que deve ser um servidor no site. Eu poderia tentar procurar as chamadas em wireshark, mas não tenho certeza se isso iria diminuir o processo que está realmente provocando isso.
Nenhum serviço, mapeamento de unidade ou tarefas agendadas está usando essa conta de domínio - por isso, deve ser algo que tenha as credenciais de domínio armazenadas. Não há sessões RDP abertas com essa conta de domínio em nenhum servidor (nós verificamos).
Mais notas
Sim, as auditorias de logon "êxito / falha" estão ativadas no controlador de domínio em questão - nenhum evento de falha é registrado até que a conta seja realmente bloqueada.
Outras pesquisas mostram que LSASS.exe
faz uma chamada de KERBEROS
para o DC em questão quando a conta é desbloqueada. Ele é precedido (geralmente) por java, que parece ser chamado por vpxd.exe
, que é um processo do vCenter. MAS, quando eu olho para o outro "server2" onde o bloqueio da conta pode (também) acontecer, eu nunca vejo uma chamada para lsass.exe
e somente os processos do apache estão sendo gerados. A única relação que os dois têm é que o SERVER2 faz parte do cluster do vSphere do SERVER1 (o server1 é um sistema operacional do vSphere).
Erro no DC
Portanto, parece que tudo o que me será dito pela AD é que é um erro de Kerberos anterior à autenticação. Eu verifiquei e não houve bilhetes com klist
e fiz um flush de qualquer maneira apenas no caso. Ainda não tenho idéia do que está causando este erro do kerberos.
Index : 202500597
EntryType : FailureAudit
InstanceId : 4771
Message : Kerberos pre-authentication failed.
Account Information:
Security ID: S-1-5-21-3381590919-2827822839-3002869273-5848
Account Name: USER
Service Information:
Service Name: krbtgt/DOMAIN
Network Information:
Client Address: ::ffff:x.x.x.x
Client Port: 61450
Additional Information:
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Certificate information is only provided if a certificate was used for pre-authentication.
Pre-authentication types, ticket options and failure codes are defined in RFC 4120.
If the ticket was malformed or damaged during transit and could not be decrypted, then many fields
in this event might not be present.