none
Не отображается в Логах ip при отказе RRS feed

  • Вопрос

  • Добрый день! Наблюдаю проблему при которой не отображается ip при отказе в подключении. Ниже лог, как сделать что в событие 4625 отображался ip адрес не удачного подключения?

    Сведения о сети:
        Имя рабочей станции:    DESKTOP-4PAHUC7
        Сетевой адрес источника:    -
        Порт источника:        -
    При этом я вижу через netstat -an | findstr 3389 свой ip

      TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING
      TCP    192.168.1.232:3389     192.168.1.3:23701      ESTABLISHED
      TCP    [::]:3389              [::]:0                 LISTENING
      UDP    0.0.0.0:3389           :
      UDP    [::]:3389              :

    9 апреля 2020 г. 12:27

Ответы

  • Добрый день,

    Похоже эта проблема связанна как-то с работой NTLM.

    Я похоже нашел решение вашей проблемы (workaround). Вот скрин:


    Для решения я в локальной политики выполнил следующие изменения:

    Конфигурация компьютера\конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности

    эквивалент на английском:

    Computer Configuration\Windows\Settings\Security Settings\Local Policies\Security Options 

    указал следующие изменения:

    Для того, чтобы изменения вступили в силу, необходимо перегрузить сервер.

    P.S. Важно перед манипуляциями, имееть физический доступ к серверу, чтобы можно было откатить изменения, если по каким-то причинам потеряете доступ к серверу.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 21 апреля 2020 г. 15:52 добавлено
    • Помечено в качестве ответа Petluga01 23 апреля 2020 г. 9:53
    21 апреля 2020 г. 15:50
    Модератор

Все ответы

  • Привет,

    Посмотрите статью внизу, в нем есть несколько описанных способов:

    Event Id 4625 without Source IP


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    10 апреля 2020 г. 7:36
    Модератор
  • Заметил что начиная с 2016 винды журнал ведется и все ip показываются. В статье ничего путного не нашел
    10 апреля 2020 г. 10:34
  • Здравствуйте,

    Могли бы уточнить у сервера RDP с включен Network Level Authentication (NLA)?

    Если да, то скорее всего в этом проблема, цитирую:

    When a connecting client uses Network Level Authentication (NLA) to authenticate the ip address is not logged for failed attempts.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    10 апреля 2020 г. 17:46
    Модератор
  • не важно включаю я или выключаю проверку на уровне сети. Снял галку, перезагрузил сервер, все равно не пишется ip в журнал. Только имя компьютера, с которого подключаюсь.

    11 апреля 2020 г. 14:48
  • Есть у кого еще какие догадки, почему не работает?
    14 апреля 2020 г. 9:04
  • Согласно сторонним ресурсом, это связанно со следующим:

    This is a known limitation with the 4625 event and RDP connections using TLS/SSL.

    Уточните пожалуйста, а Вы пробовали посмотреть в следующем логе событий, если интересующая информация там присутствует?
    Application and services log - Microsoft - Windows - RemoteDesktopServices-RdpCoreTS - Operational, event id 140

    Подробнее: Find workaround for logging changes when the "Security Layer" is SSL/TLS


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 14 апреля 2020 г. 12:54 добавлено
    14 апреля 2020 г. 12:52
    Модератор
  • да там есть данные. Но меня интересует как мне в 4625 сделать так чтобы отображались данные.
    15 апреля 2020 г. 11:24
  • Попробуйте в качестве эксперимента изменить Security Layer который скорее всего указан как TLS/SSL на другой доступный. (Например RDP Security Layer)


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 15 апреля 2020 г. 13:11 Обновлено
    15 апреля 2020 г. 13:11
    Модератор
  • Так как у меня не используется сервер терминала, сделал через политику настройки безопасности, не помогло. Все равно не отображается адрес. В 2016-2019 данной проблемы нету. Что они именно изменили или может есть какие заплатки для отображения ip.
    16 апреля 2020 г. 6:34
  • Уточните пожалуйста детали устройства (ОС, версия, редакция и т.п.) на котором возникает проблема, также какие роли на нем используются?

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    17 апреля 2020 г. 13:59
    Модератор
  • Проверяю на 2 операционных системах:

    1) Windows server 2008 R2 версия 6.1(сборка 7601:service Pack 1

    2) Windows server 2012R2 Версия 6,3 (сборка 9600)

    Роли установлены только файловые службы

    21 апреля 2020 г. 6:34
  • 2) Windows server 2012R2 Версия 6,3 (сборка 9600)

    Роли установлены только файловые службы

    Здравствуйте,

    Поднял тестовую платформу, и смог удачно воспроизвести указанную Вами проблему.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    21 апреля 2020 г. 15:42
    Модератор
  • Добрый день,

    Похоже эта проблема связанна как-то с работой NTLM.

    Я похоже нашел решение вашей проблемы (workaround). Вот скрин:


    Для решения я в локальной политики выполнил следующие изменения:

    Конфигурация компьютера\конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности

    эквивалент на английском:

    Computer Configuration\Windows\Settings\Security Settings\Local Policies\Security Options 

    указал следующие изменения:

    Для того, чтобы изменения вступили в силу, необходимо перегрузить сервер.

    P.S. Важно перед манипуляциями, имееть физический доступ к серверу, чтобы можно было откатить изменения, если по каким-то причинам потеряете доступ к серверу.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 21 апреля 2020 г. 15:52 добавлено
    • Помечено в качестве ответа Petluga01 23 апреля 2020 г. 9:53
    21 апреля 2020 г. 15:50
    Модератор
  • да данные действия помогли, спасибо.
    23 апреля 2020 г. 9:53