An account failed to log on. Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: S-1-0-0 Account Name: xyzuser Account Domain: srkt Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc0000064 Process Information: Caller Process ID: 0x0 Caller Process Name: - Network Information: Workstation Name: Compname Source Network Address: ipv4 Source Port: Randomhignumberport Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 login请求失败时会生成此事件。 它是在尝试访问的计算机上生成的。 主题字段指示请求login的本地系统上的帐户。 这是最常见的服务,如服务器服务或本地进程,如Winlogon.exe或Services.exe 。 logintypes字段表示请求的logintypes。 最常见的types是2(交互)和3(networking)。 “进程信息”字段指示系统上的哪个帐户和进程请求login。 networking信息字段指示发起远程login请求的位置。 工作站名称并不总是可用的,在某些情况下可能会留空。 身份validation信息字段提供有关此特定login请求的详细信息。
用户名与我们公司分离并从AD中删除。 他正在尝试访问文件服务器。 它得到这个错误,它再次尝试。 每周有超过10000个日志。 每次尝试从随机端口。我没有find互联网上的解决scheme。
我怎样才能解决这个问题?
来自事件的错误消息指出:“未知的用户名或错误的密码”,确认用户不存在或者用户使用错误的密码login(这是有点通用的,应该有其他事件logging在周围同时确认用户实际上已被移除)。
这个事件只是表明远程用户正试图通过networking连接连接到服务器。 连接来自随机远程端口的事实是可以预料的,这是正常的行为。
我可以想到你为什么这样做的3个原因:
用户仍然在networking上的某个地方打开会话,例如通过terminal服务器或类似的。
有一个服务或计划的任务与用户相关联,虽然这通常会导致(3)以外的错误代码。
用户以某种方式仍然可以访问networking(VPN?),并且他的笔记本电脑上的驱动器仍然映射到您的服务器。
鉴于正在生成的大量事件,用户似乎不可能有恶意的意图。
你有一个IP地址,至less会让你知道login是从哪里来的? 这也应该澄清事情。