none
Периодическая блокировка учетной записи RRS feed

  • Общие обсуждения

  • Периодически блокируется учетная запись с почтовым ящиком. В логах на контроллере домена написано что Имя вызывающего компьютера это один из серверов Exchange. Есть ли способ поймать с какого адреса идет перебор пароля?
    9 октября 2015 г. 13:06

Все ответы

  • Да, конечно. Смотрите Security лог (EventLog) на CAS серверах. Keywords "Audit Failure", ip будет в поле "Source Network Address".
    9 октября 2015 г. 13:22
  • Да, конечно. Смотрите Security лог (EventLog) на CAS серверах. Keywords "Audit Failure", ip будет в поле "Source Network Address".

    В этом поле пусто.

    Учетной записи не удалось выполнить вход в систему.

    Субъект:
    ИД безопасности: NETWORK SERVICE
    Имя учетной записи: SRVEXCH$
    Домен учетной записи: domain
    Код входа: 0x3E4

    Тип входа: 8

    Учетная запись, которой не удалось выполнить вход:
    ИД безопасности: NULL SID
    Имя учетной записи: user
    Домен учетной записи:

    Сведения об ошибке:
    Причина ошибки: Неизвестное имя пользователя или неверный пароль.
    Состояние: 0xC000006D
    Подсостояние: 0xC000006A

    Сведения о процессе:
    Идентификатор процесса вызывающей стороны: 0x1f24
    Имя процесса вызывающей стороны: C:\Program Files\Microsoft\Exchange Server\V15\Bin\EdgeTransport.exe

    Сведения о сети:
    Имя рабочей станции: SRVEXCH
    Сетевой адрес источника: -
    Порт источника: -

    Сведения о проверке подлинности:
    Процесс входа: Advapi  
    Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Промежуточные службы: -
    Имя пакета (только NTLM): -
    Длина ключа: 0

    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.


    • Изменено avedeshin 12 октября 2015 г. 11:55
    12 октября 2015 г. 11:55