none
Miles de Eventos 4776 RRS feed

  • Pregunta

  • Hola,

    Tenemos una red con un dominio Windows 2008 R2 en la que tenemos activada la auditoría. En ese dominio las unidades de red las proporcionamos con una NAS (EMC). Hay una máquina cliente con Windows 8.1 que durante un intervalo de dos horas genera muchos eventos del tipo 4776 de Auditoría Correcta de validación de credenciales con código 0x0 (es decir correcta). Los eventos se generan de forma masiva llenando el visor de eventos de seguridad del controlador. No sabemos por qué ocurre ya que la validación es correcta (es decir existe la máquina y el usuario que aparece en el mensae y se le puede hacer ping) y no fallida y sin embargo se generan miles en cuestión de minutos. ¿Alguna idea para depurar el problema? ¿Puede ser un bug de Windows y es necesario algún kb en el controlador?

    Saludos cordiales.

    martes, 14 de enero de 2020 19:50

Todas las respuestas

  • Hola computercar

     

    Gracias por levantar tu consulta en los foros de MSDN. Con respecto a la misma,  te  sugiero realizar lo siguiente:

    •  ¿Qué error o mensaje les sale el evento? ¿podrías compartirlas  por favor?
    • Recomiendo actualizar a un KB para descartar que sea algún tipo de bug

     

     

    Gracias por usar los foros de TechNet.

     

    Pablo Rubio

     

     ____

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

     

    miércoles, 15 de enero de 2020 18:27
    Moderador
  • Hola computercar

     

    Gracias por levantar tu consulta en los foros de TechNet. Con respecto a la misma, te recomiendo revisar las políticas avanzadas de auditoria y verificar que estén configuradas correctamente, te comparto los siguientes enlaces que contienen más información sobre este tema

     

    https://docs.microsoft.com/es-es/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings

     

    https://docs.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/account-lockout-threshold

     

    https://social.technet.microsoft.com/Forums/ie/es-ES/086d66f0-96e6-498c-a6a8-c55b1088761d/gpo-que-bloquea-usuario-por-meter-mal-contrasea-no-encuentro-la-poltica?forum=wsgpes

     

    Seguimos buscando una mejor respuesta a tu caso

    Gracias por usar los foros de TechNet.

     

    Diana Acuña

     

     ____

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    miércoles, 15 de enero de 2020 18:59
    Moderador
  • Hola,

    Os doy más información que he descubierto con pruebas. Al parecer los eventos se producen de forma desmesurada (id 4776 en el controlador) cuando el usuario realiza la siguiente operación (sino lo hace no pasa):

    Abre un documento de libreoffice que está en el escritorio y lo guarda en su unidad de red departamental que está en una NAS DEll Celerra. Desde ese momento empiezan los intentos de conexión SMB a la NAS con fallos de STATUS_ACCESS_DENIED que en el controlador aparecen como 4776 y en la NAS se traducen en eventos 537 con razón "un error inesperado ocurrió durante el logon" y 681 con el código de error CIFS.

    Pruebas que he realizado

    -He actualizado el LibreOffice a la última versión y el comportamiento es el mismo.

    -He reseteado el canal entre el PC y el DC y sigue fallando

    -He probado con otro usuario del dominio en esa máquina y el error no da por lo que descarto KBs del sistema operativo.

    -Hemos cambiado la contraseña del usuario en el dominio y sigue dando el error.

    -El nombre del equipo es resuelto correctamente tanto directamente como inversamente.

    Parece ser algo del perfil del usuario pero la verdad no se cómo depurarlo. ¿Alguien me puede ayudar?

    Saludos cordiales y gracias de antemano

    viernes, 24 de enero de 2020 19:25