none
監査ログ(EventID:529、680)の発生を防止するには RRS feed

  • 質問

  • お世話になります。

    以前このフォーラムの中で 「監査ログ(EventID:529)について」といった質問がありました。
    http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/84c670cf-b3de-4405-b618-ba7150372009

    これに類似した質問になるのですが、PC1(Windows Server 2003 SP2)から他の PC2(Windows Server 2003 SP2)へ接続した際(APIはWNetAddConnection2を使用)、PC2のセキュリティログにEventID 529、680 (いずれも“失敗の監査”)が複数個 記録されます。

    このログの中身を確認すると、PC1側のユーザー名でPC2側にアクセスしようとしているようなのですが、PC2側ではそのようなユーザー名は登録されていない事から、当然 「ユーザー名が不明またはパスワードが無効です。」といったエラーログになっています。
    しかし実際のWNetAddConnection2ではPC1のユーザーは指定しておらず、PC2のユーザーを指定してログインさせようとしています。

    PC1がPC2に接続する際、最初 ドメインコントローラーとしてのログインが試行される為に、このような動作になるのではと予想しておりますが、Windows XP Workstation から接続した場合には このようなエラーログは発生せず、問題なく接続できています。
    (Windows Server 2003の仕様になるのでしょうか?)

    WNetAddConnection2への引数の表記を変える(例えばユーザー名を“<PC2 IP>¥<PC2 ユーザー名>”と指定)などで、ドメインコントローラに対するログインではないと明確に指定できれば、上記のようなログインは行なわないのではないかと考えてTRYするのですが、結果は変わりません。

    これについて何らかの回避策をご存知の方がおられましたら、ご教授いただけないでしょうか?
    よろしくお願いいたします。
     

    2009年9月30日 8:13

すべての返信

  • 自己レスです。

    同じプログラムでも XPからの接続と、2003R2からの接続で、接続先(2003R2)のセキュリティログへの出力が異なりますので、それぞれをパケットキャプチャーしてみました。
    やはり 2003R2からの接続の場合のみ、NTLMSSP_CHALLENGE で 自身のユーザーID(ここではWIN-2003R2\pc1user)を指定している為に、status: nca_s_fault_access_denied でエラーしています。(これでEvent ID:529, 680 がログされると思われます。)

      2003R2(192.168.1.20) → 2003R2(192.168.1.201)
      Source           Destination      Protocol Info
      192.168.1.20     192.168.1.201    SMB      Negotiate Protocol Request
      192.168.1.201    192.168.1.20     SMB      Negotiate Protocol Response
      192.168.1.20     192.168.1.201    SMB_NETLOGON SAM LOGON request from client
      192.168.1.20     192.168.1.201    TCP      hermes > netbios-ssn [ACK] Seq=210 Ack=94 Win=64147 Len=0
      192.168.1.20     192.168.1.201    SMB_NETLOGON SAM LOGON request from client
      192.168.1.20     192.168.1.201    SMB      Session Setup AndX Request, NTLMSSP_NEGOTIATE
      192.168.1.201    192.168.1.20     SMB      Session Setup AndX Response, NTLMSSP_CHALLENGE,
                                      Error: STATUS_MORE_PROCESSING_REQUIRED
      192.168.1.20     192.168.1.201    SMB      Session Setup AndX Request, NTLMSSP_AUTH, User: 192.168.1.201\Administrator
      192.168.1.201    192.168.1.20     SMB      Session Setup AndX Response
      192.168.1.20     192.168.1.201    SMB      Tree Connect AndX Request, Path: \\192.168.1.201\IPC$
      192.168.1.201    192.168.1.20     SMB      Tree Connect AndX Response
      192.168.1.20     192.168.1.201    SMB      NT Create AndX Request, FID: 0x4000, Path: \winreg
      192.168.1.201    192.168.1.20     SMB      NT Create AndX Response, FID: 0x4000
    >>192.168.1.20     192.168.1.201    DCERPC   Bind: call_id: 200, 2 context items, 1st WINREG V1.0, NTLMSSP_NEGOTIATE
      192.168.1.201    192.168.1.20     SMB      Write AndX Response, FID: 0x4000, 185 bytes
      192.168.1.20     192.168.1.201    SMB      Read AndX Request, FID: 0x4000, 1024 bytes at offset 0
    >>192.168.1.201    192.168.1.20     DCERPC   Bind_ack: call_id: 200, NTLMSSP_CHALLENGE Unknown result (3),
                                        reason: Abstract syntax not supported
    >>192.168.1.20     192.168.1.201    DCERPC   AUTH3: call_id: 200, NTLMSSP_AUTH, User: WIN-2003R2\pc1user
      192.168.1.201    192.168.1.20     SMB      Write AndX Response, FID: 0x4000, 228 bytes
      192.168.1.20     192.168.1.201    WINREG   OpenHKLM request[Long frame (52 bytes)]
    >>192.168.1.201    192.168.1.20     DCERPC   Fault: call_id: 200 ctx_id: 0 status: nca_s_fault_access_denied
      192.168.1.20     192.168.1.201    SMB      Close Request, FID: 0x4000
      192.168.1.201    192.168.1.20     SMB      Close Response, FID: 0x4000


      XP(192.168.1.2) → 2003R2(192.168.1.201)
      Source           Destination      Protocol Info
      192.168.1.2      192.168.1.201    SMB      Negotiate Protocol Request
      192.168.1.201    192.168.1.2      SMB      Negotiate Protocol Response
      192.168.1.2      192.168.1.201    SMB      Session Setup AndX Request, NTLMSSP_NEGOTIATE
      192.168.1.201    192.168.1.2      SMB      Session Setup AndX Response, NTLMSSP_CHALLENGE, Error: STATUS_MORE_PROCESSING_REQUIRED
      192.168.1.2      192.168.1.201    SMB      Session Setup AndX Request, NTLMSSP_AUTH, User: WIN-XP\Administrator
      192.168.1.201    192.168.1.2      SMB      Session Setup AndX Response
      192.168.1.2      192.168.1.201    SMB      Tree Connect AndX Request, Path: \\192.168.1.201\IPC$
      192.168.1.201    192.168.1.2      SMB      Tree Connect AndX Response
      192.168.1.2      192.168.1.201    SMB      NT Create AndX Request, FID: 0x4000, Path: \winreg
      192.168.1.201    192.168.1.2      SMB      NT Create AndX Response, FID: 0x4000
      192.168.1.2      192.168.1.201    DCERPC   Bind: call_id: 434 WINREG V1.0
      192.168.1.201    192.168.1.2      SMB      Write AndX Response, FID: 0x4000, 72 bytes
      192.168.1.2      192.168.1.201    SMB      Read AndX Request, FID: 0x4000, 1024 bytes at offset 0
      192.168.1.201    192.168.1.2      DCERPC   Bind_ack: call_id: 434 accept max_xmit: 4280 max_recv: 4280
      192.168.1.2      192.168.1.201    WINREG   OpenHKLM request
      192.168.1.201    192.168.1.2      WINREG   OpenHKLM response


    また試しに、エクスプローラーから同じ接続先(2003R2)の共有リソースを見ようと エクスプローラーのアドレス入力にIPを指定した際のパケットキャプチャーではどちらも 同じ様にネットワークログインの試行が行なわれています。(キャプチャーイメージはXPのみです。)
    また XP、2003R2、いずれの場合も接続先ではEvent ID:529, 680 がログされます。

      XP エクスプローラー(192.168.1.2) → 2003R2(192.168.1.201)
      Source           Destination      Protocol Info
      192.168.1.2      192.168.1.201    SMB      Negotiate Protocol Request
      192.168.1.201    192.168.1.2      SMB      Negotiate Protocol Response
      192.168.1.2      192.168.1.201    SMB      Session Setup AndX Request, NTLMSSP_NEGOTIATE
      192.168.1.201    192.168.1.2      SMB      Session Setup AndX Response, NTLMSSP_CHALLENGE,
                                     Error: STATUS_MORE_PROCESSING_REQUIRED
      192.168.1.2      192.168.1.201    SMB      Session Setup AndX Request, NTLMSSP_AUTH, User: WIN-XP\pc1user
      192.168.1.201    192.168.1.2      SMB      Session Setup AndX Response, Error: STATUS_LOGON_FAILURE



    WNetAddConnection2 での接続の場合については、2003R2、XPで認証プロセスが異なるのは やはり仕様の差で 回避策はないのでしょうかね?
    (説明が不足していましたが、WNetAddConnection2 の処理はどちらも成功するのです。単に接続先でEvent ID:529, 680 がログされるか、されないかの違いになります。)

    2009年10月1日 8:57
  • またまた 自己レスです。

    今日は、同じプログラムで Windows Server 2008から  2003R2へ接続してみました。
    すると 接続先(2003R2)でEvent ID:529, 680 は ログされず、問題なく接続できるではないですか!

    パケットキャプチャーからもXPの時と同様 接続側(2008)のユーザー名が指定された認証プロセスは行なわれていませんので、これは2003R2の不具合の可能性が高くなってきました。
    既に修正モジュールが提供されているかもしれないと思い、念の為 Windows Updateを 接続側、接続先 それぞれで適用してみましたが、状況は変わりませんでしたので、ここから先はマイクロソフト担当者殿の調査に期待したいと思います。

    マイクロソフト担当者殿、よろしくお願いします。

    2009年10月2日 8:54
  • kuri555 さん、こんにちは。
    フォーラムオペレーターの三沢健二です。

    ご投稿された現象は、OS 毎の実装の違いによるものと推測いたしますが、TecheNet 等の フォーラムにおけるマイクロソフト社員の参加は、下記の URL の説明にありますとおり、技術的な話題に関して、何らかの情報を知っている場合に、コミュニティの一環として他に参加されているユーザーと同じ立場で議論に参加する場合があるというレベルです。

    http://www.microsoft.com/japan/communities/msp.mspx

    http://social.answers.microsoft.com/Forums/ja-JP/answersfeedbackja/thread/07441436-5484-4dd2-a033-d5b263d83b7b


    そのため、仕様等の調査・サポート(マイクロソフトの正式見解)は行っていませんので、今回のようなご質問の場合には、弊社有償サポートへお問い合わせいただければと思います。
    (もちろん、関連性がありそうな公開情報などあれば、参考情報としてご案内させていただく事もあります)

    マイクロソフト カスタマー サービス & サポート
    http://www.microsoft.com/japan/customer/


    それでは、今後とも TechNet フォーラムをよろしくお願いします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年10月6日 6:09
    モデレータ