none
Capire a chi è stato assegnato un IP RRS feed

  • Domanda

  • Ho un server SBS 2003 che continua a segnalare l'errato inserimento di
    user e/o password da parte di un IP locale.
    Questo è l'evento generato:
     
    Accesso non riuscito:
     Motivo:        Nome utente sconosciuto o password non valida
     Nome utente:
     Dominio:
     Tipo di accesso:    3
     Processo di accesso:    Kerberos
     Pacchetto di autenticazione:    Kerberos
     Nome workstation:    -
     Nome utente chiamante:    -
     Dominio chiamante:    -
     ID accesso chiamante:    -
     ID processo chiamante:    -
     Servizi transitati:    -
     Indirizzo di rete origine:    192.168.1.19
     Porta origine:    0
     
    L'IP 192.168.1.19 è uno di quelli assegnati al RAS per la connessione
    remota al server.
    Nei log del DHCP non trovo dettagli sull'assegnazione di tale IP.
    Visto che l'errore si ripete ogni mezzora circa, mi viene da pensare
    che venga generato dall'accesso Exchange che è stato configurato su uno
    smartphone. E' plausibile?
     
    venerdì 24 giugno 2011 08:51

Risposte

  • Ribadisco : se vuoi capire CHI genera l'errore, non devi lavorare sull'IP ma sui log di Sicurezza e sui log del RAS.

    E' normale che ti risulti come origine l'IP del server RAS, visto che è lui a fare da ponte fra il mondo esterno e la tua LAN.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 24 giugno 2011 10:12

Tutte le risposte

  • Nel log di sicurezza (se hai attivato l'audit dei tentativi di logon falliti) dovresti trovare un nome utente o almeno un nome macchina con un errore di logon.

    Inoltre il server RAS ha una serie di logs in %windir%\system32\Logfile


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 24 giugno 2011 09:23
  • Controllando la configurazione del server RAS ho visto che l'IP in
    questione è assegnato all'interfaccia interna del server stesso.
    Ora capisco ancora meno il perché dell'errore di autenticazione. :-(
     
    venerdì 24 giugno 2011 10:02
  • Ribadisco : se vuoi capire CHI genera l'errore, non devi lavorare sull'IP ma sui log di Sicurezza e sui log del RAS.

    E' normale che ti risulti come origine l'IP del server RAS, visto che è lui a fare da ponte fra il mondo esterno e la tua LAN.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 24 giugno 2011 10:12
  • Sui files di log non trovo nulla. Nel visualizzatore eventi di
    protezione l'ultimo avviso di quel problema risale alle 13:39 di oggi
    ma nel file di registrazione (IN110624.log presente in
    c:\windows\logfiles) per quell'orario non viene riportato nulla.
    Ora ho abilitato il tracing di tutti gli eventi e vediamo se mi da
    qualche informazione in più.
     
    venerdì 24 giugno 2011 12:13
  • Restiamo in attesa di tue notizie.....
    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    mercoledì 29 giugno 2011 09:35
  • OK, ora la cartella C:\Windows\tracing si è riempita di log.
    Il file RASAUTH.LOG è l'unico in cui mi è caduto l'occhio sul nome di
    alcuni dei PC che si collegano da remoto (fare una ricerca per testo
    contenuto non aiuta perché spesso i nomi sono spezzati).
    Da questo log ho notato che l'utente in questione si collega da casa
    tramite un portatile, ma non riesco a capire se è il PC a cui viene
    assegnato l'IP in questione (non trovo neanche una corrispondenza di
    orari tra questi eventi e le notifiche registrate negli eventi di
    sicurezza di windows).
    Qualcuno sa indicarmi se c'è qualche altro log in cui guardare per
    trovare maggiori informazioni?
     
    mercoledì 29 giugno 2011 10:17