事件查看器中有大量login/closures事件

我在VMware运行一个Win2012服务器，我已经安装了IIS，NAP，VPN，DHCP，DNS，WDS，AD DS，AD CS。 我在我的域中有win7客户端，但是他们没有打开。

问题是，我得到了ID 4634,4624和4672的事件。我每2秒收到一个事件。 他们都来自我的Win2012服务器。

login事件示例：

An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Impersonation Level: Delegation New Logon: Security ID: SYSTEM Account Name: DC-SERVER$ Account Domain: SKOLE Logon ID: 0x20BE923 Logon GUID: GUID Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: Source Network Address: fe80::e130:38a0:ae35:35bd Source Port: 58047 Detailed Authentication Information: Logon Process: Kerberos Authentication Package: Kerberos Transited Services: - Package Name (NTLM only): - Key Length: 0 

授权和模拟之间的模拟更改。 源端口也一直在变化。

• WEF从Windows Server 2012 R2上的客户端收集Windows Defender日志
• 开始事件的事件查看器ID
• 监视事件的Windows事件日志并执行VBS脚本
• 无法在Windows Server 2008中打开事件查看器？
• 使用backup exec备份事件查看器文件夹而不安装远程代理

正如你所看到的，这些事件在同一时间发生了很多次。 我完全不知道这是什么原因造成的。 我GOOGLE了search论坛的答案，但我一直没能find任何帮助。

而对于有人告诉我要closures审计 – 不，我不会，我想find问题或得到一个很好的解释。

更新：

显然我有这个问题已经有一段时间了，但我现在还没有真正注意到。 我有我的服务器的快照，我没有安装NAP，VPN和AD CS，但我仍然得到很多事件。 我相信这与AD有关。 有谁可以帮忙？