none
windows イベントログ 4624 について RRS feed

  • Frage

  • お世話になっております。

    windows イベントログを使って、 ログオン・ログオフのチェックを行おうとしています。

    ログオン・ログオフのみイベントログから抽出するため、
     ログオン:4624 イベント
     ログオフ:4647 イベント
    を使用する予定です。

    ログオン:4624 についてお聞きしたいのですが、
    自端末(ドメイン参加済み)のイベントログを見ると、ログオンタイプが 11 になっております。

    調べたところ、キャッシュを使っていると 11 になるようなのですが、
     N/Wは切断されていない
     klistコマンドの結果、キャッシュされたチケットが2種類表示されている
     whoami /fqdn の結果がちゃんと返ってくる
     set コマンドの結果、LOGONSERVERの値はADサーバーのホスト名になっている
    という結果で、キャッシュを使っていないような結果になります。

    ※以下を参考にしています。

    http://azuread.net/2010/03/20/%E3%82%AD%E3%83%A3%E3%83%83%E3%82%B7%E3%83%A5%E3%81%95%E3%82%8C%E3%81%9F%E3%83%AD%E3%82%B0%E3%82%AA%E3%83%B3/

    ・現状、キャッシュを使っているのか?使っていないのか?どちらなのかを確認したい。
    ・キャッシュを使わない ログオンタイプ:2 としてイベントを出力させるには
     どうしたら良いか。方法を知りたい。

    について教えて頂けないでしょうか。

    宜しくお願い致します。

    • Bearbeitet supao Freitag, 9. August 2019 08:50 内容を書かずに投稿してしまったため
    Freitag, 9. August 2019 08:30

Antworten

  • チャブーンです。

    この件ですが、前提条件として「ネットワークが繋がっている状況ではキャッシュは『絶対使われない』」というところで論陣を張られているようですが、そこに認識違いがあると思います。

    Windows XP以降では「一分一秒でも速くログオンする」という仕様変更から、ネットワークに繋がっていても先にキャッシュログオンし、あとから資格情報を確認する、という動作に変わっています。状況からそうでないときもあり得るので、いっそうわかりづらいと思います。

    おっしゃるページはMSMVP国井さんの情報ですが、書いてあるとおり正しいと思います。要するに先に資格情報のキャッシュでログオンしているのです。それをやめさせるためには、まずグループポリシー「コンピュータの起動およびログオンで常にネットワークを待つ」をクライアントに適用させてみてください。

    その状況で再度試すと、ネットワークが繋がる状況でログオンを行おうとするので、イベントのログオンタイプが変わってくると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    Mittwoch, 14. August 2019 10:39

Alle Antworten

  • supaoさん、こんにちは。フォーラムオペレーターのFarenaです。

    TechNetフォーラムにご投稿くださいましてありがとうございます。

     

    その後のご状況いかがでしょうか。

    問題のスクリーンショット等、詳細な状況を共有いただくことで他のユーザー様よりのご意見が集まりやすくなります。

    どうぞよろしくお願いいたします。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Montag, 12. August 2019 07:26
    Moderator
  • Farena 様

    事象はまだ解決しておりません。

    ログオンタイプ : 11 のレコードは
    処理内部では タイプ : 2 のレコードと同義として扱う方向で
    検討しております。

    Dienstag, 13. August 2019 23:52
  • チャブーンです。

    この件ですが、前提条件として「ネットワークが繋がっている状況ではキャッシュは『絶対使われない』」というところで論陣を張られているようですが、そこに認識違いがあると思います。

    Windows XP以降では「一分一秒でも速くログオンする」という仕様変更から、ネットワークに繋がっていても先にキャッシュログオンし、あとから資格情報を確認する、という動作に変わっています。状況からそうでないときもあり得るので、いっそうわかりづらいと思います。

    おっしゃるページはMSMVP国井さんの情報ですが、書いてあるとおり正しいと思います。要するに先に資格情報のキャッシュでログオンしているのです。それをやめさせるためには、まずグループポリシー「コンピュータの起動およびログオンで常にネットワークを待つ」をクライアントに適用させてみてください。

    その状況で再度試すと、ネットワークが繋がる状況でログオンを行おうとするので、イベントのログオンタイプが変わってくると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    Mittwoch, 14. August 2019 10:39
  • こんにちは

     

    その後のご状況いかがでしょうか。

    チャブーンさんから寄せられた投稿はお役に立ちましたか。

     

    参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、ご協力くださいますようお願いいたします。

     

    ご不明な点がございましたら、お気軽にお問い合わせください。

    今後ともTechNet フォーラムをよろしくお願いします。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Freitag, 16. August 2019 05:27
    Moderator
  • チャブーンさま

    出張の為返信が遅くなりました。申し訳ございません。

    ご指摘頂いた通り、”グループポリシー「コンピュータの起動およびログオンで常にネットワークを待つ」”を端末に適用してみたところ、ログオンタイプが 2 に変化しました。

    XP 以降は優先的にキャッシュを使ってしまうという事が理解できました。

    ログオンタイプ2と11は環境に依存しますが両方ともチェックするようにいたします。

    ありがとうございました。

    Samstag, 31. August 2019 01:11