none
Непонятный аудит отказа на Edge сервере RRS feed

  • Вопрос

  • Добрый день.

    Настроил пограничный Edge сервер Exch2010. Выпустил для него сертификат, подписал на сайт. Синхронизация работает, почта ходит.

    Однако в журнале безопасности периодически возникает непонятный аудит отказа:

    Имя журнала: Security
    Источник: Microsoft-Windows-Security-Auditing
    Дата:  29.08.2011 11:55:37
    Код события: 4625
    Категория задачи:Вход в систему
    Уровень: Сведения
    Ключевые слова:Аудит отказа
    Пользователь: Н/Д
    Компьютер: MYEDGE.mydomain.ru
    Описание:
    Учетной записи не удалось выполнить вход в систему.
    Субъект:
    	ИД безопасности:		NULL SID
    	Имя учетной записи:		-
    	Домен учетной записи:		-
    	Код входа:		0x0
    Тип входа:			3
    Учетная запись, которой не удалось выполнить вход:
    	ИД безопасности:		NULL SID
    	Имя учетной записи:		
    	Домен учетной записи:		
    Сведения об ошибке:
    	Причина ошибки:		Компонент NetLogon неактивен.
    	Состояние:			0xc0000192
    	Подсостояние:		0x80090325
    Сведения о процессе:
    	Идентификатор процесса вызывающей стороны:	0x0
    	Имя процесса вызывающей стороны:	-
    Сведения о сети:
    	Имя рабочей станции:	-
    	Сетевой адрес источника:	192.168.10.5
    	Порт источника:		57053
    Сведения о проверке подлинности:
    	Процесс входа:		Schannel
    	Пакет проверки подлинности:	Microsoft Unified Security Protocol Provider
    	Промежуточные службы:	-
    	Имя пакета (только NTLM):	-
    	Длина ключа:		0
    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.
    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    	- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    	- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    	- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
     <System>
     <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
     <EventID>4625</EventID>
     <Version>0</Version>
     <Level>0</Level>
     <Task>12544</Task>
     <Opcode>0</Opcode>
     <Keywords>0x8010000000000000</Keywords>
     <TimeCreated SystemTime="2011-08-29T07:55:37.250964800Z" />
     <EventRecordID>19226</EventRecordID>
     <Correlation />
     <Execution ProcessID="448" ThreadID="488" />
     <Channel>Security</Channel>
     <Computer>MYEDGE.mydomain.ru</Computer>
     <Security />
     </System>
     <EventData>
     <Data Name="SubjectUserSid">S-1-0-0</Data>
     <Data Name="SubjectUserName">-</Data>
     <Data Name="SubjectDomainName">-</Data>
     <Data Name="SubjectLogonId">0x0</Data>
     <Data Name="TargetUserSid">S-1-0-0</Data>
     <Data Name="TargetUserName">
     </Data>
     <Data Name="TargetDomainName">
     </Data>
     <Data Name="Status">0xc0000192</Data>
     <Data Name="FailureReason">%%2306</Data>
     <Data Name="SubStatus">0x80090325</Data>
     <Data Name="LogonType">3</Data>
     <Data Name="LogonProcessName">Schannel</Data>
     <Data Name="AuthenticationPackageName">Microsoft Unified Security Protocol Provider</Data>
     <Data Name="WorkstationName">-</Data>
     <Data Name="TransmittedServices">-</Data>
     <Data Name="LmPackageName">-</Data>
     <Data Name="KeyLength">0</Data>
     <Data Name="ProcessId">0x0</Data>
     <Data Name="ProcessName">-</Data>
     <Data Name="IpAddress">192.168.10.5</Data>
     <Data Name="IpPort">57053</Data>
     </EventData>
    </Event>

    192.168.10.5 - это адрес хаба (тоже Exch2010). 

    Никто не сталкивался с этим - не смог в инете ничего путного по этой ошибке найти.

    Из-за чего данный отказ водникает и как это исправить?

     (все ОС - Windows Server 2008 R2 SP1, Exchange 2010 SP1 RU4)



    29 августа 2011 г. 8:41

Все ответы