服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 事件4625审核失败NULL SIDnetworkinglogin失败
Intereting Posts
缺lessOpenSSH-6.7的GSSAPITrustDns选项 Postfix路由邮件无法传递给relayhost 更新Ubuntu服务器 当Tomcat&apache拥有HA和LB时,为什么要反向代理? Trac无法读取svn存储库 10演出MySql数据库导入失速并没有完成 如果给定主机用户在远程计算机上没有ssh密钥,如何作为另一个用户ssh进入一个盒子 如何整合一个networking; 共享资源 ProxyHTMLURLMap不能在apache2.4中工作 恢复SBS 2003 CAL 检查备份转储是否有效 赢得2008年 – streamvideo多监视器? haproxy + nginx:httpsredirect到http后面的斜杠 设置具有相同configuration/应用程序的Mac电脑集群? 节点木偶上的参数无效

事件4625审核失败NULL SIDnetworkinglogin失败

在3个独立的系统中,在域控制器服务器上多次logging以下事件(每天30到4,000次,具体取决于系统): 

An account failed to log on. Subject: Security ID: SYSTEM Account Name: %domainControllerHostname%$ Account Domain: %NetBIOSDomainName% Logon ID: 0x3E7 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc0000064 Process Information: Caller Process ID: 0x1ec Caller Process Name: C:\Windows\System32\lsass.exe Network Information: Workstation Name: %domainControllerHostname% Source Network Address: - Source Port: - Detailed Authentication Information: Logon Process: Schannel Authentication Package: Kerberos Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted. The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network). The Process Information fields indicate which account and process on the system requested the logon. The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases. The authentication information fields provide detailed information about this specific logon request. - Transited services indicate which intermediate services have participated in this logon request. - Package name indicates which sub-protocol was used among the NTLM protocols. - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

这个事件与我在研究过程中发现的所有其他事件稍有不同,但是我确定了以下内容:

  1. Event ID: 4625 。 “帐户无法login” 。
  2. Logon Type: 3 。 “networking(即从该networking上的其他地方连接到该计算机上的共享文件夹)” 。
  3. Security ID: NULL SID 。 “有效的帐户没有被识别” 。
  4. Sub Status: 0xC0000064 。 “用户名不存在” 。
  5. Caller Process Name: C:\Windows\System32\lsass.exe 。 本地安全机构子系统服务(LSASS)是Microsoft Windows操作系统中的一个进程,负责在系统上执行安全策略。 它validation用户login到Windows计算机或服务器,处理密码更改,并创build访问令牌。 它也写入Windows安全日志。
  6. Workstation Name: SERVERNAME 。 身份validation请求正由域控制器本身提交。

受影响的系统的相似之处:

  1. 服务器操作系统:Windows Small Business Server 2011或Windows Server 2012 R2 Essentials
  2. 桌面操作系统:Windows 7 Professional(通常)

受影响的系统的差异:

  1. 杀毒软件
  2. Active Directory集成的Internet过滤
  3. 桌面caching的login
  4. angular色(交换,备份等)

我在受到最严重影响的系统中注意到了一些有趣的事情:

  1. 我们最近开始通过Windows Server 2012 R2 Essentials的Office 365集成同步Active Directory和Office 365用户帐户密码。 集成需要Office 365pipe理员的密码和安全策略升级。 同步要求将每个用户帐户分配到相应的Microsoft在线帐户,这需要在下次login时更改帐户的密码。 我们还在Active Directory域和信任中将其主要电子邮件域添加为UPN后缀,并将所有用户帐户的UPN更改为其电子邮件域。 实际上,这允许他们使用他们的电子邮件地址和密码login到域和Office 365。 但是,由于这样做,每天logging的事件数量已经从900增加到了3900。 注意:没有任何pipe理或基于作业的(备份,扫描程序等)用户帐户已被修改,没有用户访问系统的任何部分时遇到问题。
  2. 大部分事件似乎每隔30或60分钟定期logging一次,除了〜09:00,即用户到达工作时间时:2015/07/02 18:55
    2015/07/02 19:25
    2015/07/02 19:54
    2015/07/02 20:25
    2015/07/02 20:54
    2015/07/02 21:25
    2015/07/02 22:24
    2015/07/02 23:25
    2015/07/03 00:25
    2015/07/03 01:24
    2015/07/03 01:55
    2015/07/03 02:24
    2015/07/03 02:55
    2015/07/03 03:55
    2015/07/03 04:55
    2015/07/03 05:54
    2015/07/03 06:25
    2015/07/03 07:25
    2015/07/03 08:24
    2015/07/03 08:27
    2015/07/03 08:49
    2015/07/03 08:52
    2015/07/03 08:54
    2015/07/03 08:56
    2015/07/03 08:57
    2015/07/03 09:00
    2015/07/03 09:01
    2015/07/03 09:03
    2015/07/03 09:06
    2015/07/03 09:08
    2015/07/03 09:10
    2015/07/03 09:12
    2015/07/03 09:13
    2015/07/03 09:17
    2015/07/03 09:13
    2015/07/03 09:25
    2015/07/03 10:24
    2015/07/03 11:25

  3. 在terminal/远程桌面服务服务器上logging以下事件,尽pipe无处不在: 

     An account failed to log on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: %terminalServerHostname% Account Domain: %NetBIOSDomainName% Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xC000006D Sub Status: 0xC0000064 Process Information: Caller Process ID: 0x0 Caller Process Name: - Network Information: Workstation Name: %terminalServerHostname% Source Network Address: %terminalServerIPv6Address% Source Port: %randomHighNumber% Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted. The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network). The Process Information fields indicate which account and process on the system requested the logon. The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases. The authentication information fields provide detailed information about this specific logon request. - Transited services indicate which intermediate services have participated in this logon request. - Package name indicates which sub-protocol was used among the NTLM protocols. - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

所以,总之,这似乎与使用员工用户帐户的台式计算机的networking访问有关,但是我看不出来。

更新2015/08/25 08:48:

在受到最严重影响的系统中,我已经做了以下的事情来隔离这个问题,并且在每次恢复之后:

  1. closuresterminal/远程桌面服务服务器和通用失败login继续。
  2. 从networking断开域控制器服务器,并且一般失败的login继续。
  3. 重新启动服务器到安全模式没有networking和通用失败的login不会继续。
  4. 停止并禁用所有“不必要的”服务(监控代理,备份,networking过滤集成,TeamViewer,防病毒等),并且通用失败的login仍然继续。
  5. 停止和禁用Windows Server Essentials服务( WseComputerBackupSvcWseEmailSvcWseHealthSvcWseMediaSvcWseMgmtSvcWseNtfSvc )和通用失败login不会继续。
  6. 最终,停止并禁用了Windows Server Essentialspipe理服务( WseMgmtSvc ),并且通用失败的login未能继续。

我已经仔细检查了Windows Server Essentialspipe理服务( WseMgmtSvc )是否对这些通用失败login负责,将其禁用了几天,并且没有通用login失败login并且启用了几天,并且有数以千计的通用失败loginlogin。

更新2015/10/08 09:06:

在2015年10月7日16:42我发现了以下计划的任务:

  • 名称:“警报评估”
  • 位置:“\ Microsoft \ Windows \ Windows Server Essentials”
  • 作者:“微软公司”
  • 说明:“此任务定期评估计算机的运行状况”。
  • 帐号:“SYSTEM”
  • 触发器:“2014年10月28日08:54 – 触发后,无限期地每30分钟重复一次”
  • 操作:“启动程序:C:\ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll” /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / method:EvaluateAlertsTaskAction / task:“Alert Evaluations”“

这个时间框架几乎完全符合上面的行为,所以我禁用它,看看它是否会影响到这个问题。

在2015年10月8日08:57我发现这些通用失败login中只有47个是以不规则的间隔login的。

所以,我进一步缩小了范围。

这个事件通常是由一个陈旧的隐藏证书造成的。 尝试从系统给出这个错误:

从命令提示符处运行: psexec -i -s -d cmd.exe
从新的cmd窗口运行: rundll32 keymgr.dll,KRShowKeyMgr

删除存储的用户名和密码列表中出现的任何项目。 重新启动计算机。

看起来问题是由计划任务“警报评估”造成的。