none
Windows Server 2008 R2 で大量のログオフが発生 RRS feed

  • 質問

  •  いつもお世話になっております。
     標記の件、質問させてください。

     Windows Server 2008 R2 において、夜間(01:15頃)にWindowsアカウント
    大量にログオフ(イベントID:4634)が発生します。
     それにより、アプリケーション処理効率が悪くなってしまいました。
     上記現象は毎日ではなく、法則性もないようです。

     周辺の状況を説明いたします。
     ログオフされるアカウントは、日中クラサバシステムを利用するユーザで
    日中にアプリケーションを介してデータベースサーバーである
    Windows Server 2008 R2へアクセスします。
     下記のログオフ時のイベントログ内容に
    「イベントは、ログオン セッションが破棄された場合に生成されます。」と
    ありますが、ログオン セッションが破棄されるタイミングは決まっているのでしょうか。
     また、この大量のログオフによりメモリが消費されているようで
    夜間の処理に影響が出ているようなのですが、回避策はあるのでしょうか。

     お手数をお掛けいたしますが、よろしくお願いいたします。


    <ログオフ時のイベントログ内容>
    アカウントがログオフしました。

    サブジェクト:
     セキュリティ ID:  [ドメイン]\[アカウント名]
     アカウント名:  [アカウント名]
     アカウント ドメイン:  [ドメイン]
     ログオン ID:  0x1ecf1a

    ログオン タイプ:   3

    このイベントは、ログオン セッションが破棄された場合に生成されます。これは、ログオン ID の値を使用して、ログオン イベントに関連付けられる場合があります。ログオン ID は、同一コンピューターが次に再起動するまでの間のみ一意です

    • 移動 Robin_Ren 2012年10月3日 18:11 merge forum (移動元:Windows Server 2008 R2 全般)
    2011年1月18日 0:30

回答

  • こんにちは、フォーラムオペレーターの三沢健二です。

    下記の情報によると、ログオンタイプが 3 なので、リモートでのアクセスが発生している状況であると推測出来ますが、現在の情報だけではこれ以上の事(回避策など) を推測する事は難しいと思われます。

    - 参考情報
    Windows Server 2008/Vista/7イベントログ - 4634 ログオフ
    http://eventlog.whitefox.jp/?eid=78


    もし、全く何も分からない状況で原因などを調査するのであれば、下記のような流れになると思います。

    1. アクセスしている端末とユーザーアカウントを特定する。
    (ログオンイベントで分かる場合があります。分からなければ ネットワークモニタ などを仕掛ける)

    2. アクセスしている端末が特定出来たら、アクセスを行っているアプリケーションやサービスを特定する。
    (ログオンイベントの "呼び出し側プロセス ID" で分かる場合があります。分からなければアクセスしている端末に Process Monitor などを仕掛ける)

    3. アプリケーションやサービスが特定出来たら、設定の見直しや、どういった状況でアクセスが行われるのかについてアプリケーションの開発元に相談する。


    - 参考情報
    ファイルサーバー監査(ログオン/ログオフ)
    http://eventlog.whitefox.jp/?eid=6

    アカウントがロックアウトされる
    http://blogs.technet.com/b/jpntsblog/archive/2009/03/19/3215125.aspx


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2011年1月28日 2:40
    2011年1月21日 5:25
    モデレータ

すべての返信

  • こんにちは、フォーラムオペレーターの三沢健二です。

    下記の情報によると、ログオンタイプが 3 なので、リモートでのアクセスが発生している状況であると推測出来ますが、現在の情報だけではこれ以上の事(回避策など) を推測する事は難しいと思われます。

    - 参考情報
    Windows Server 2008/Vista/7イベントログ - 4634 ログオフ
    http://eventlog.whitefox.jp/?eid=78


    もし、全く何も分からない状況で原因などを調査するのであれば、下記のような流れになると思います。

    1. アクセスしている端末とユーザーアカウントを特定する。
    (ログオンイベントで分かる場合があります。分からなければ ネットワークモニタ などを仕掛ける)

    2. アクセスしている端末が特定出来たら、アクセスを行っているアプリケーションやサービスを特定する。
    (ログオンイベントの "呼び出し側プロセス ID" で分かる場合があります。分からなければアクセスしている端末に Process Monitor などを仕掛ける)

    3. アプリケーションやサービスが特定出来たら、設定の見直しや、どういった状況でアクセスが行われるのかについてアプリケーションの開発元に相談する。


    - 参考情報
    ファイルサーバー監査(ログオン/ログオフ)
    http://eventlog.whitefox.jp/?eid=6

    アカウントがロックアウトされる
    http://blogs.technet.com/b/jpntsblog/archive/2009/03/19/3215125.aspx


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2011年1月28日 2:40
    2011年1月21日 5:25
    モデレータ
  • tokuno3 さん、

    こんにちは。
    フォーラム オペレーターの服部清次です。

    tokuno3 さんがこちらの質問を投稿されてから少し経ちましたが、その後の状況はいかがでしょうか?
    弊社の三沢健二の回答はご確認いただけましたでしょうか?

    今回、1つの参考情報として弊社の三沢の回答を役立てていただけるのではないかと思いましたので、
    勝手ながら、私の方でひとまず [回答としてマーク] させていただきました。

    また何か疑問や質問などがありましたら、TechNet フォーラムをご活用ください。
    今後とも、よろしくお願いします。
    それでは、また。


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2011年1月28日 2:41
  • 三沢様

     いつもお世話になっております。
     ご回答いただきありがとうございました。

     本件は、まだ原因の特定にはいたっておりませんが、
    ご参考の情報をもとに現象はひとまず解消されましたので、
    回答とさせていただきます。


    服部様

     回答が遅くなり、申し訳ありませんでした。
     今後ともよろしくお願い申し上げます。

     

    2011年2月1日 6:19