让我从我的环境的一些细节开始: Windows Active Directory域环境 域控制器:Windows Server 2003 R2 问题工作站:Windows 7 Professional 64位 最近,我收到了由于login失败次数过多而导致域用户帐户被locking的报告。 我已经从用户使用两个不同的机器,Win 7 Pro x64的报告这个问题。 我只是解锁他们的帐户,让他们在途中,但有时帐户立即被重新locking,有时用户会被隔夜,每晚导致一些混乱。 由于这个问题,我在我们的SBS服务器locking策略下设置帐户locking阈值为0,所以用户可以不间断地工作,而我知道这一点。 在对这个问题做一些研究的时候,我发现一个常见的问题是,当用户的密码被改变时,他们旧的凭证被caching在某个地方,被一个进程或服务使用,导致审计失败,但是用户没有改变他们的密码在很长一段时间。 所以我正在检查其中一个工作站上的事件日志,而且我发现每秒钟都会发生一些用户的审计失败事件。 其中一个用户通过远程桌面定期使用计算机,但另外三个用户有点奇怪。 其他三个之一不访问我知道这台机器,其他两个用户不存在 。 其中一个不存在的用户有我们的域名的用户名,另一个被称为DENTAL ….在另一个用户不断注销的另一台机器上,我看到所有的奇怪和不存在的用户名被列出在事件(他们是真实的名字,但不是我们的域名用户,如鲍勃,珍妮,加里等)。 安全事件日志时间线看起来像这样,每天一整天: 审计失败 以下是不存在的用户的完整事件详细信息(login到他的电脑的唯一用户是域pipe理员): -System -Provider [ Name] Microsoft-Windows-Security-Auditing [ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D} EventID 4625 Version 0 Level 0 Task 12544 Opcode 0 Keywords 0x8010000000000000 -Time Created [ SystemTime] 2017-03-16T18:23:08.864151000Z EventRecordID […]
一些开发人员在RaiseError中使用以下语法: RAISERROR('My business error message', 16, 0) 为了重用try..catch块的捕获部分也是为了商业错误。 但是我发现了几个这样的事件日志条目: Msg # 50006, <blabla> please register the error message with sp_addmessage 有一些方法来禁止创build这样的事件? 我search谷歌,MSDN和文档,但没有find线索。
目前,当用户打印文档时,在我们的事件日志中logging了事件ID 10。 我们大多数XP客户端在Win2003 domian上。 但是,我不能告诉这个用户打印了一个文件。 如何跟踪用户用于打印特定文档的计算机? 如果可能的话,免费解决scheme会更好。
我是否正确,如果某个程序安装在服务器上并显示在“添加删除/程序”程序中,那么当用户在物理控制台上login到服务器,或者使用RDP和而不是当用户通过共享访问服务器? 如果是这样,那么这应该显示为事件ID 528。 换句话说,如果我只看事件ID 528,我可以得到一个嫌疑犯名单。 它是否正确?
所以我一直在为我们的系统解决睡眠计时器问题,并且遇到了一个有趣的问题。 我需要一种方式来报告一个系统在多个不同的input之后被唤醒的时间。 现在,我发现系统日志跟踪唤醒和睡眠事件,甚至告诉你所有事情发生的时间。 事情是不告诉你是什么触发了唤醒事件。 它确实给你一个数字代码,但是。 这里有一些我发现的例子。 Index : 2901 EntryType : Information InstanceId : 1 Message : The system has resumed from sleep. Sleep Time: 2010-10-01T23:20:06.097488100Z Wake Time: 2010-10-03T17:41:12.796400500Z Wake Source: 0 Category : (0) CategoryNumber : 0 Source : Microsoft-Windows-Power-Troubleshooter – Index : 2841 EntryType : Information InstanceId : 1 Message : The system […]
我监视Active Directory服务器上的EventID 4768以捕获用户login。 到目前为止这么好…我观察到用户设置为$的所有事件都是计算机。 我的问题是,据我所知,我被允许设置用户名如'abc $'。 所以基于'$'的区分并不是最好的方法。 我也看不出2个事件之间的差别,一个来自计算机,一个来自用户login。 那么,当我loginlogin事件时,如何安全区分用户和计算机呢?
我试图find崩溃后得到的Windows事件日志中的一些错误的原因。 最后有两个代码。 例: NET Runtime version 2.0.50727.1433 – Fatal Execution Engine Error (7A097772) (80131506) 这些是什么? 崩溃有一个事件ID(1023),但最后一个号码也似乎是某种forms的ID。 第一个虽然似乎是相当独特的,因为我基本上找不到这个数字上的任何东西。
可以在Windows Azure上访问事件日志以进行具有多个实例的部署吗? 如有必要,它将能够查看每个服务器实例的事件日志。 “黑匣子”的东西并没有削减。
我们有一台运行SQL 2008 R1的服务器。 我们在DMZ中有一个Web服务器,它通过防火墙连接到SQL服务器,并使用域用户帐户执行SQL Reporting Services报告。 在SQL服务器上,事件日志已经为该域用户审核失败的“帐户login”事件(事件ID 680,代码0xC0000064)。 但是,对于这些失败事件中的每一个,都有一个成功的login/注销事件(事件ID 540)为同一个域帐户。 应该注意,帐户login事件中的用户名被指定为UPN [email protected]),但login/注销事件中的用户名被指定为DOMAIN \ Username。 这些事件必须与SSRS相关,因为这是应该使用该帐户的唯一连接。 此外,在监视我们的域控制器时,每次出现帐户login事件之一时,域控制器CPU使用率都会高达80%或更高。 我不确定这两者是否有关系。 在我的研究中,我读过的所有内容都表明,在对用户进行身份validation时,帐户login事件由域控制器logging。 所以我的问题是: 为什么我的SQL服务器logging帐户login事件,如果他们应该是一个域控制器事件? 为什么在一个事件中指定了UPN,而在另一个事件中指定了DOMAIN \ Username格式呢? 我没有注意到我的应用程序有任何中断,所以失败的login不会影响它。 为什么会这样? 更新: 我们在Intranet上也有相同的Web应用程序。 我只是注意到,这个应用程序不会导致这些相同的事件被生成。 当该应用程序连接到SSRS时,它会logging一些成功的login/注销事件,但根本没有帐户login事件。 因此,这似乎与DMZ中的其他服务器有关。 我还注意到由Intranet连接生成的事件显示Kerberos作为使用的身份validation方法。 但是,从DMZ连接生成的成功login/注销事件指示NTLM。
我有几个服务器,我不断得到EventID错误5605 root \ cimv2 \ TerminalServices命名空间标有RequiresEncryption标志。 如果脚本或应用程序没有适当的身份validation级别,则可能会拒绝对此名称空间的访问。 将身份validation级别更改为Pkt_Privacy,然后再次运行脚本或应用程序。 问题是我不知道这个脚本是从哪里运行的,所以我不能更新脚本来解决问题,就像我在事件5605上find的每一个其他post。我检查了启动脚本的GPO,我检查了我的所有域的SYSVOL共享为VBScript或Powershell脚本。 我无法在任何地方find这个脚本。 我怎样才能跟踪这个脚本,并修复它,所以它不会抛出这个错误?