none
SCOM2019: Отказы аудита в журнале Security RRS feed

  • Общие обсуждения

  • Коллеги, доброго дня.

    Есть Operations Manager 2019, в единственном экземпляре.

    Базды данных MSSQL так же располагаются на хосте.

    Обслуживается порядка 50 клиентов.

    В журнал безопасности валится очень много аудитов отказа.

    Листенг идентичный:

    Учетной записи не удалось выполнить вход в систему.
    
    Субъект:
    	ИД безопасности:		domain\scom
    	Имя учетной записи:		scom
    	Домен учетной записи:		DOMAIN
    	Код входа:		0x12821
    
    Тип входа:			3
    
    Учетная запись, которой не удалось выполнить вход:
    	ИД безопасности:		NULL SID
    	Имя учетной записи:		
    	Домен учетной записи:		
    
    Сведения об ошибке:
    	Причина ошибки:		Неизвестное имя пользователя или неверный пароль.
    	Состояние:			0xC000006D
    	Подсостояние:		0xC0000064
    
    Сведения о процессе:
    	Идентификатор процесса вызывающей стороны:	0xd40
    	Имя процесса вызывающей стороны:	C:\Program Files\Microsoft System Center\Operations Manager\Server\Microsoft.Mom.Sdk.ServiceHost.exe
    
    Сведения о сети:
    	Имя рабочей станции:	SCOM1-A66
    	Сетевой адрес источника:	-
    	Порт источника:		-
    
    Сведения о проверке подлинности:
    	Процесс входа:		Authz   
    	Пакет проверки подлинности:	Kerberos
    	Промежуточные службы:	-
    	Имя пакета (только NTLM):	-
    	Длина ключа:		0
    
    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
    
    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
    
    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
    
    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.
    
    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
    
    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    	- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    	- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    	- Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.

    Microsoft.Mom.Sdk.ServiceHost.exe - есть ни что иное как служба OMSDK (System Center Data Access Service)

    "Неизвестное имя пользователя или неверный пароль" в логе смущает тем, что точки входа верны, т.к. от пользователя работает сервис, он стартует и проблем  с этим нет.

    Она запускается от доменного пользователя scom, который является администраторов на хосте SCOM1-a66.

    SPN для объектов Компьютер и Пользователя scom зарегистрированы.

    В логе самого Operations Manager никаких особых проблем я не вижу.

    Подскажите, в какую сторону смотреть? Функциональных проблем не имею, но слегка смущает поток этих эвентов.


    6 сентября 2019 г. 8:44

Все ответы

  • Привет,

    А есть какие-нибудь проблемы  с работой самого сервера и SCOM?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    12 сентября 2019 г. 10:22
    Модератор
  • Привет,

    А есть какие-нибудь проблемы  с работой самого сервера и SCOM?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    Нет, никаких проблем в работе самого сервиса нет
    4 октября 2019 г. 8:42