我们有1个主域控制器和3个额外的域控制器的networking。
我们试图识别试图使用其他人的凭据来访问我们组织中的一些资源的用户。 在这一点上,我们希望看到哪些电脑login尝试与该用户失败。
我们启用了对帐户login事件和login事件的PDC成功和失败审计,并且从我的计算机做了一些testing。
失败的尝试确实logging在事件查看器,但客户端IP是完全错误的(它不logging我的IP它logging其中一个额外的域控制器)。 我需要做什么来跟踪真实的IP?
我假设工作站连接到第一个可用的域控制器,并且DCauthentication到PDC。 但是,我怎么解决这个问题呢?
谢谢!
编辑正如在评论中所述,我查看了由PDC报告的ADC,但没有失败的login尝试。 安全策略设置似乎适用于域中的所有DC,所以它应该已经logging下来…
在一个相关的笔记我做了一些XP工作站的testing:我启用对象访问审计,添加用户跟踪,也启用login审计; 但它只logging用户名,而不是工作站的IP(或至less名称) – 甚至在login安全报告中也是如此!
我得说,我真的很失望这些产品的function,这些产品本身就是企业级的产品。 要么,要么我做错了什么,我可以使用一些指针。
处理请求的DC将在其事件日志中使用客户端IP发生事件。
这是2003年还是NT4?
也有这个文件的阅读,这是一个巨大的帮助,我们跟踪哪个客户端导致类似的问题。
Technet:维护和监视帐户locking
干杯……加里