Rastreando bloqueios de conta do AD não rastreáveis

4

Um usuário (vamos chamá-lo de 'nome de usuário') continua sendo bloqueado e não sei por quê. Outra senha incorreta é registrada a cada 20 minutos no ponto.

O DC do Emulador PDC está executando o Server 2008 R2 Std. A identificação de evento 4740 é registrada para o bloqueio, mas o nome do computador chamador está em branco:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/29/2015 4:18:14 PM
Event ID:      4740
Task Category: User Account Management
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      FQDNofMyPDCemulatorDC
Description:
A user account was locked out.

Subject:
    Security ID:        SYSTEM
    Account Name:       MyPDCemulatorDC$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Account That Was Locked Out:
    Security ID:        MYDOMAIN\username
    Account Name:       username

Additional Information:
    Caller Computer Name:   

A origem do bloqueio DC está executando o Server 2003 executando o IAS (RADIUS). Seu log de segurança contém um evento correspondente para o bloqueio da conta, mas é claro que também está faltando a origem (Nome da máquina do chamador):

Event Type: Success Audit
Event Source:   Security
Event Category: Account Management 
Event ID:   644
Date:       5/29/2015
Time:       4:18:14 PM
User:       NT AUTHORITY\SYSTEM
Computer:   MyRadiusDC
Description:
User Account Locked Out:
    Target Account Name:    username
    Target Account ID:  MYDOMAIN\username
    Caller Machine Name:    
    Caller User Name:   MyRadiusDC$
    Caller Domain:      MYDOMAIN
    Caller Logon ID:    (0x0,0x3E7)

O log de depuração do NetLogon está ativado na origem de bloqueio DC, e o log (C: \ WINDOWS \ debug \ Netlogon.log) mostra os logins com falha devido à senha incorreta, mas não a fonte (você pode ver onde ela está dizendo) de 'seguido por dois espaços, entre os espaços deve ser a fonte da tentativa de logon):

05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from  Entered
05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from  Returns 0xC000006A

Os logs do IAS (C: \ WINDOWS \ system32 \ LogFiles \ IN ######. log) não mostram nenhuma conexão RADIUS deste usuário nos últimos 2 dias.

Eu não sei para onde diabos sair daqui, exceto para amaldiçoar a Microsoft até eu ficar sem fôlego. Alguém tem alguma ideia que possa ser mais produtiva? :-D

    
por Fëanor 30.05.2015 / 01:42

1 resposta

1

Acabei de terminar uma chamada com a Microsoft exatamente sobre isso, portanto espero que as informações a seguir ajudem:)

Tentativas de autenticação podem acontecer em alguns pontos, e especialmente se você estiver usando a autenticação PEAP para conexões sem fio, a negociação de autenticação também ocorre por meio do serviço EAPHost.

O serviço EAPHost que eu encontro não possui um fantástico registro de autenticação (na verdade, é miserável - arquivo de rastreamento), portanto, se por alguma razão a autenticação falhar no EAPHost, a tentativa de falha de autenticação é registrada usando os eventIDs de autenticação genéricos no log de eventos e nada no IAS Logs.

O que descobrimos foi que um servidor RADIUS recém-construído estava registrando muito mais informações nos logs do IAS do que o nosso sistema de produção. Eu passei por um registro reconfigurado através do log de configuração para incluir informações contábeis (marque todas as caixas no assistente!), Reiniciei o serviço e descobri que todos os eventos IAS ausentes estavam sendo registrados, incluindo endereços MAC e SSIDs nos arquivos de log do IAS.

Espero que isso possa ajudar:)

    
por 20.10.2015 / 06:07