none
ドメインユーザのログイン失敗時におけるイベントログ出力先について RRS feed

  • 質問

  • お世話になります。

    Windows Server 2008 R2 だけで構成されたドメイン環境があります。

    ドメイン参加クライアントPC ( win 7 pro ) から、ドメイン参加サーバ ( win 2008 R2 ) へリモートデスクトップ接続し、ドメインユーザのパスワード入力に失敗してログイン失敗した場合、失敗のイベントログは ADサーバ か 参加サーバ のどちらに出力されるのでしょうか?

    ADサーバ側に出力された形跡と、参加サーバに出力される形跡があり、どちらが正しいのかわからず困っています。

    設定によって異なる場合設定内容などをご教示頂けると助かります。

    宜しくお願いいたします。

    2014年9月22日 13:03

回答

  • チャブーンです。

    情報を拝見したうえで、いえることですが、ホスト名とIPアドレスの指定によって結果が異なる、については、認証プロトコルのちがいです。

    IPアドレスで指定した場合、WindowsはNTLM認証を行います。このNTLM認証の結果がリモートデスクトップ側のログとして出ている、といえると思います(4625はログオンの失敗です)。

    ホスト名で指定した場合、WindowsはKerberos認証を最初に行います。Kerberos認証の場合、パスワードの事前チェックを行う「事前認証」がありますが、これに失敗(パスワードが違うので当然ですが)したログが4471になります。

    ここで問題となるのが、ログオンに失敗したログはリモートデスクトップ/ドメインコントローラ双方に記録されるものではないのか?ということですが、これは「設定にによって可能になる」となります。本来記録は可能ですが、現在の設定では「成功」のみが記録され失敗は記録されない状態になっているのだと思います。

    ログオン失敗を「記録しなければならない」運用であれば、ドメインコントローラやリモートデスクトップサーバのセキュリティポリシーの「監査ポリシー」で「アカウントログオンイベントの監査」と「ログオンイベントの監査」を「成功」「失敗」の両方に設定して、ポリシーを適用させてください。ログオン失敗のログが記録されますが、ログの量は増えますので、この点は注意してください。


    2014年10月6日 2:17
    モデレータ

すべての返信

  • チャブーンです。

    セキュリティログで取得できる「ログオンの成功/失敗」ですが、もし「ローカルログオン(デスクトップへのログオン)」の情報を採りたいのであれば、ローカルログオンを行うサーバーに直接行うのが、しくみ上は正しいはずです。その意味では、リモートデスクトップ先のサーバのイベントログを見る必要があります。

    ドメインコントローラに示される情報ですが、(リモートデスクトップ先サーバからの)ログオン要求に応じて「ネットワークレベルでのユーザ認証を行った」「TGTチケットを発行した」といったものとなり、厳密には違う内容となりますが「(この差を理解していれば)参考になる情報」として、参考にすることはできると思います。

    • 回答の候補に設定 佐伯玲 2014年9月26日 0:53
    2014年9月25日 8:10
    モデレータ
  • チャブーンさん

    すみません遅くなりました。返信ありがとうございます。

    参考になるということは十分承知しているのですが、なぜ対象サーバに出ていたのが、ドメコンサーバに出るようになったのか?が問題と考えております。

    いくつか現地環境で確認したところ、リモートデスクトップの接続先指定方法によって事象が異なることがわかりました。

    ・接続先にIPアドレスを指定した場合

     対象サーバ:出力   ドメコンサーバ:未出力

    ・接続先にホスト名を指定した場合

     対象サーバ:未出力  ドメコンサーバ:出力

    となりました。

    なぜ接続先の指定でこのような差異があるのか、どのあたりの設定が影響しているのか、わかる方がいらっしゃいましたらご意見いただけると幸いです。

    2014年10月1日 12:53
  • チャブーンです。

    実際に確認され、対象と考えているイベントID・ソース・メッセージは具体的になんになるのでしょうか?

    それがわからないと、どういうシチュエーションでどう記録されたものかわからないので、コメントは難しいと思います。


    2014年10月2日 2:03
    モデレータ
  • チャブーンさん

    大変失礼しました。

    以下のイベントが出力されています。(これで足りますでしょうか?)

    ・接続先にIPアドレスを指定して、パスワードを入力ミスをした場合

     対象サーバ:出力(event-id : 4625)   ドメコンサーバ:未出力

    ・接続先にホスト名を指定して、パスワードを入力ミスをした場合

     対象サーバ:未出力  ドメコンサーバ:出力(event-id : 4471)

    2014年10月2日 7:34
  • チャブーンです。

    情報を拝見したうえで、いえることですが、ホスト名とIPアドレスの指定によって結果が異なる、については、認証プロトコルのちがいです。

    IPアドレスで指定した場合、WindowsはNTLM認証を行います。このNTLM認証の結果がリモートデスクトップ側のログとして出ている、といえると思います(4625はログオンの失敗です)。

    ホスト名で指定した場合、WindowsはKerberos認証を最初に行います。Kerberos認証の場合、パスワードの事前チェックを行う「事前認証」がありますが、これに失敗(パスワードが違うので当然ですが)したログが4471になります。

    ここで問題となるのが、ログオンに失敗したログはリモートデスクトップ/ドメインコントローラ双方に記録されるものではないのか?ということですが、これは「設定にによって可能になる」となります。本来記録は可能ですが、現在の設定では「成功」のみが記録され失敗は記録されない状態になっているのだと思います。

    ログオン失敗を「記録しなければならない」運用であれば、ドメインコントローラやリモートデスクトップサーバのセキュリティポリシーの「監査ポリシー」で「アカウントログオンイベントの監査」と「ログオンイベントの監査」を「成功」「失敗」の両方に設定して、ポリシーを適用させてください。ログオン失敗のログが記録されますが、ログの量は増えますので、この点は注意してください。


    2014年10月6日 2:17
    モデレータ
  • チャブーンさん

    返信ありがとうございます。IPとホスト名で認証が異なるとのこと、大変参考になりました。

    ログオンに失敗したログはリモートデスクトップ/ドメインコントローラ双方に記録されるものではないのか?という問題についてですが、対象サーバもドメインコントローラサーバも、「アカウントログオンイベントの監査」と「ログオンイベントの監査」は「成功」「失敗」の両方に設定してあるのです。

    そこが不思議なところでして、あと考えられるとすると、active directory のローカルセキュリティポリシーがどのような設定になっていて、どういう優先順位で対象サーバに適用されているのか?というところになりますでしょうか。そのあたりも、active directoy の設定をみると、適用されているポリシーには失敗が有効になっているように見え、なんとも不思議なことになっております。。。。

    2014年10月8日 12:40