プライマリ ドメイン コントローラー 1 台と追加ドメイン コントローラー 3 台を含むネットワークがあります。
私たちは、他のユーザーの資格情報を使用して組織内のリソースにアクセスしようとしたユーザーを特定しようとしています。この時点で、そのユーザーによるログオン試行がどのコンピューターから失敗したかを確認したいと考えています。
アカウント ログオン イベントとログオン イベントの PDC 成功および失敗監査を有効にし、自分のコンピューターからいくつかのテストを行いました。
失敗した試行は確かにイベント ビューアーに記録されていますが、クライアント IP は完全に間違っています (私の IP が記録されているのではなく、追加のドメイン コントローラーの 1 つが記録されています)。実際の IP を追跡するには何をする必要がありますか?
ワークステーションは最初に利用可能なドメイン コントローラに接続し、その DC は PDC に対して認証すると想定しています。しかし、どうすればこれを解決できるでしょうか?
ありがとう!
編集 コメントに書かれているように、PDC によって報告された ADC を確認しましたが、失敗したログオン試行はありませんでした。セキュリティ ポリシー設定はドメインのすべての DC に適用されているようなので、ログに記録されているはずです...
関連して XP ワークステーションでいくつかテストを行いました。オブジェクト アクセス監査を有効にし、追跡するユーザーを追加し、ログオン監査も有効にしました。しかし、ユーザー名のみがログに記録され、ワークステーションの IP (または少なくとも名前) はログに記録されませんでした。ログオン セキュリティ レポートにも記録されませんでした。
エンタープライズ レベルとして販売されている製品にこのような機能が搭載されていることには本当にがっかりしました。あるいは、私が何か間違っているので、何かアドバイスをいただければと思います。
答え1
要求を処理する DC のイベント ログには、クライアントの IP を含むイベントが記録されます。
これは 2003 ですか、それとも NT4 ですか?
このドキュメントも読んでみてください。同様の問題を引き起こしているクライアントを追跡するのに非常に役立ちました。
乾杯…ゲイリー