[請益] DC被client嘗試登入失敗 qpowjohn PTT批踢踢實業坊

[請益] DC被client嘗試登入失敗

作者: qpowjohn (pose) 2021-01-22 09:02:02

各位先進好，
有個疑問想請各位確認一下，
最近公司有政策要在AD下派發當主機發生4625登入失敗事件時需要通知管理員的規則，
實作上已經完成了，這沒有問題，
但每天都會看到不特定主機會登入DC，但登入失敗產生4625事件的狀況，
從常理來說不合理，但還是要請教一下是否合理
我有試著在事件發生當下到client下netstat看port對應的pid，
但看到的是system(pid: 4)所發出的，
到這邊我就不知道怎麼追下去了…

作者: michaellai (麥克賴) 2021-01-22 12:49:00

看client的log

作者: king1412 (Roscoe) 2021-01-22 19:13:00

使用者電腦UID有沒有一樣

作者: qpowjohn (pose) 2021-01-22 20:35:00

主要是不知道是哪隻程式在嘗試登入DC使用者電腦確實有看到localhost to DC但確實system發起

作者: lovespre (Sprewell) 2021-01-22 23:35:00

firewall擋掉3389後看log最快

作者: cat031147 (回憶難忘，人更難) 2021-02-01 11:36:00

網路磁碟機？

繼續閱讀

[活動] Google Workspace線上研討會frank402 [請益] 考RHCSA認證疑問m0911182606 [請益] AD的GPO沒生效狀況tgtgl [請益] Windows server 證照相關cplusplus426 Re: [請益] 104徵IT/MIS要怎麼寫才會想投呢?iversonman [請益] 監控軟體紀錄copy資料ChanSui [活動] [email protected]系列活動 cherry210191 [情報] 台積電要跨地域招攬海內外的IT基礎架構人EijiHoba [情報] 微軟可能計畫大幅改版Windows介面EijiHoba [Case] Freeradius for windows安裝註冊碼那裡找allenhw