none
Datos Log eventos 4624 RRS feed

  • Pregunta

  • Buen dia,

    Tengo la siguiente situación:

    Tengo una red LAN con varias VLAN 

    10.10.10.1 Firewall

    10.10.20.1 VLAN (Servidores Incluido Dominio (10.10.20.3 Server 2016)

    10.10.70.1 VLAN (Equipos estaciones de trabajo)

    Desde una directiva del dominio tengo activos los log de inicio de sesión, para poder mediante el firewall controlar el acceso a internet por medio del LDAP del dominio, sin embargo los registros de inicio de sesión 4624 en el directorio activo me aparecen de la siguiente manera para los servidores que estan en la VLAN 10.10.20.1:

    *****************************************************************************************************************

    Se inició sesión correctamente en una cuenta.

    Firmante:
    Id. de seguridad: NULL SID
    Nombre de cuenta: -
    Dominio de cuenta: -
    Id. de inicio de sesión: 0x0

    Información de inicio de sesión:
    Tipo de inicio de sesión: 3
    Modo de administrador restringido: -
    Cuenta virtual: No
    Token elevado: 

    Nivel de suplantación: Suplantación

    Nuevo inicio de sesión:
    Id. de seguridad: ANSV\jtorres
    Nombre de cuenta: jtorres
    Dominio de cuenta: ANSV
    Id. de inicio de sesión: 0x2B855B0
    Inicio de sesión vinculado: 0x0
    Nombre de cuenta de red: -
    Dominio de cuenta de red: -
    GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000}

    Información de proceso:
    Id. de proceso: 0x0
    Nombre de proceso: -

    Información de red:
    Nombre de estación de trabajo: ANSVSRVPRINTER       (Nombre correcto server)
    Dirección de red de origen: 10.10.20.20                           (IP correcta server)
    Puerto de origen: 57138

    Información de autenticación detallada:
    Proceso de inicio de sesión: NtLmSsp 
    Paquete de autenticación: NTLM
    Servicios transitados: -
    Nombre de paquete (solo NTLM): NTLM V2
    Longitud de clave: 128

    *******************************************************************************************************

    Lo cual esta bien para los equipos de este segmento, sin embargo este es el log que me aparece en los inicios de sesion de las estaciones de trabajo:

    *******************************************************************************************************

    Se inició sesión correctamente en una cuenta.

    Firmante:
    Id. de seguridad: NULL SID
    Nombre de cuenta: -
    Dominio de cuenta: -
    Id. de inicio de sesión: 0x0

    Información de inicio de sesión:
    Tipo de inicio de sesión: 3
    Modo de administrador restringido: -
    Cuenta virtual: No
    Token elevado: 

    Nivel de suplantación: Suplantación

    Nuevo inicio de sesión:
    Id. de seguridad: ANSV\jtorres
    Nombre de cuenta: jtorres
    Dominio de cuenta: ANSV.LOCAL
    Id. de inicio de sesión: 0x28F0BF1
    Inicio de sesión vinculado: 0x0
    Nombre de cuenta de red: -
    Dominio de cuenta de red: -
    GUID de inicio de sesión: {0d5087aa-58bb-1458-73c3-33bf5922c01f}

    Información de proceso:
    Id. de proceso: 0x0
    Nombre de proceso: -

    Información de red:
    Nombre de estación de trabajo: -                        (No me aparece nombre del equipo)
    Dirección de red de origen: 10.10.20.1                (No me aparece IP del equipo, me aparece la IP de la puerta de enlace, IP de VLAN)
    Puerto de origen: 58045

    Información de autenticación detallada:
    Proceso de inicio de sesión: Kerberos
    Paquete de autenticación: Kerberos
    Servicios transitados: -
    Nombre de paquete (solo NTLM): -
    Longitud de clave: 0

    ******************************************************************************************************************

    Que debo hacer para que en el log que se me registre del directorio activo me salgan los datos correctos de cada equipo, no los de la puerta de enlace? 

    Agradezco su colaboración

    lunes, 5 de marzo de 2018 13:07

Respuestas

  • Hola AlexANSV,

    En realcion a tu consulta, ¿Pudiste resolverlo? ¿Encontraste una solucion?

    Quedo al pendiente de tus comentarios.

    Saludos cordiales

    Gracias por usar los foros de TechNet.

    Juan
    _____

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    martes, 13 de marzo de 2018 20:15
    Moderador

Todas las respuestas

  • Hola AlexANSV,

    En realcion a tu consulta, ¿Pudiste resolverlo? ¿Encontraste una solucion?

    Quedo al pendiente de tus comentarios.

    Saludos cordiales

    Gracias por usar los foros de TechNet.

    Juan
    _____

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    martes, 13 de marzo de 2018 20:15
    Moderador
  • Si, ya lo pude resolver.
    martes, 3 de abril de 2018 16:59