Como posso rastrear a origem do bloqueio repetido de conta contra o servidor Exchange?

3

Eu tenho uma conta de usuário do AD que está sendo repetida e frequentemente bloqueada, eu consegui rastrear o bloqueio para a matriz CAS do servidor Exchange. No entanto, não sei como continuar a investigação. Os logs de eventos nos servidores do Exchange (2013) indicam que o bloqueio foi originado de msExchangeFrontEndTransport.exe, mas não indica de qual fonte a solicitação de autenticação original veio. Eu realmente gostaria de saber qualquer um dos seguintes (quanto mais, melhor): fonte de auth IP / nome do computador, fonte do método auth (ou seja, webmail, activesync, cliente Outlook, etc).

O log de eventos do que eu consegui pesquisar não indica nada que possa ajudar a rastrear o ponto de origem da solicitação de autenticação incorreta. Tenho 90% de certeza de que descartei qualquer um dos dispositivos portáteis do usuário, pois em um momento desligamos todos os dispositivos do usuário e o bloqueio ainda ocorreu, isso está acontecendo há semanas com mais de 600 tentativas de autenticação por dia . Eu renomei a conta de usuário como uma solução alternativa, mas eu realmente quero determinar de onde isso está vindo para fins de segurança. Esta é a única conta que está sofrendo dessa maneira. Qualquer idéia seria muito apreciada!

    
por NorthVandea 02.06.2014 / 20:00

1 resposta

1

Veja os logs do IIS no servidor CAS, que apontarão na direção certa. Um problema comum é um usuário com vários dispositivos que tentam se conectar com uma senha desatualizada e bloquear a conta. No entanto, pode ser abuso.

2012-01-10 14:42:26 172.32.22.12 POST /Microsoft-Server-ActiveSync/default.eas User=ratishnair&DeviceId=Appl8xxxxx4S&DeviceType=iPhone&Cmd=FolderSync&Log=PrxFrom:10.123.33.88_Error:BackingOffMailboxServer_ 443 CONTOSO\CAS01$ 10.123.33.88Apple-iPhone3C1/901.405 503 0 0 765

Entrada de registro entre link

Isso mostra o IP, o nome de usuário e o dispositivo do cliente.

    
por 21.06.2014 / 15:49