数週間にわたって、すべての DC で「管理者」のログイン失敗が何千件も発生しています。イベント ビューアーには、以下のメッセージが記録されています。ネットワーク上には、その名前のコンピューターやサーバーは存在しないことに注意してください。非常に一般的なようです。接続をトレースしようとしましたが、ProcessMonitor、Antimalware、内部ポートなどでは何も表示されません。これをさらにトレースする方法を知っている人はいませんか?
イベントID: 4776 タイプ: ネットワーク
Logon Account: Administrator
Source Workstation: Windows2016
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: FreeRDP
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: Windows2012
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: Windows10
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.```
答え1
サーバー上で Wireshark を実行し、Kerberos トラフィックを検索することができます。ドメイン内に多数のサーバーがある場合、この方法は時間のかかるものになります。