Eu reconheço uma pequena quantidade de entradas do Evento 4625 com um status de 0x80090308 e substatus 0x0; 2% sobre todos os 4625's.
É basicamente um login com falha, mas sem nenhuma informação que eu possa usar para analisar mais a fundo. E esse é o ponto que chama minha intereset. Eu não sei o que é e de onde vem. A única coisa comum é que vem sempre do mesmo DC, de quatro.
Com o procmon.exe, tentei conectá-lo a uma conexão específica de um recurso remoto (Tipo de Logon 3), mas todas as conexões e ações em um período de tempo tão específico tiveram um sinalizador de êxito no procmon.
O código de status de 0x80090308 parece não estar documentado em lugar nenhum.
Alguém mais se deparou com esse código de erro e pode ter uma ideia, para onde investigar?
Obrigado S-L
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: An error has occured during logon
Status: 0x80090308
Sub Status: 0x0
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name:
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process:
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0