Windows 2003 Server-Sicherheitsaudit - Protokollierung der Computer-IP

Wir haben ein Netzwerk mit 1 primären Domänencontroller und 3 zusätzlichen Domänencontrollern.

Wir versuchen, einen Benutzer zu identifizieren, der versucht hat, mit den Anmeldeinformationen einer anderen Person auf Ressourcen in unserer Organisation zuzugreifen. An dieser Stelle möchten wir sehen, von welchen Computern aus es fehlgeschlagene Anmeldeversuche mit diesem jeweiligen Benutzer gab.

Wir haben auf dem PDC Erfolgs- und Fehlerprüfungen für Kontoanmeldeereignisse und Anmeldeereignisse aktiviert und ich habe einige Tests von meinem Computer aus durchgeführt.

Der fehlgeschlagene Versuch wird zwar in der Ereignisanzeige protokolliert, aber die Client-IP ist völlig falsch (es wird nicht meine IP protokolliert, sondern die eines der zusätzlichen Domänencontroller). Was muss ich tun, um die ECHTE IP zu ermitteln?

Ich gehe davon aus, dass die Arbeitsstation eine Verbindung zum ersten verfügbaren Domänencontroller herstellt und dass der Domänencontroller sich beim PDC authentifiziert. Aber wie löse ich dieses Problem?

Danke schön!

BEARBEITEN Wie in den Kommentaren erwähnt, habe ich mir den ADC angesehen, der vom PDC gemeldet wurde, aber es gab keine fehlgeschlagenen Anmeldeversuche. Die Sicherheitsrichtlinieneinstellungen scheinen für alle DCs der Domäne zu gelten, daher hätte es protokolliert werden müssen ...

In einem verwandten Zusammenhang Ich habe einige Tests mit einer XP-Workstation durchgeführt: Ich habe die Objektzugriffsüberwachung aktiviert, die zu verfolgenden Benutzer hinzugefügt und auch die Anmeldungsüberwachung aktiviert. Es wird jedoch NUR der Benutzername protokolliert und nicht die IP-Adresse (oder zumindest der Name) der Workstation – nicht einmal im Anmeldesicherheitsbericht!!!.

Ich muss sagen, dass ich von diesen Funktionen eines Produkts, das sich als auf Unternehmensebene verkauft, wirklich enttäuscht bin. Entweder das, oder ich mache etwas falsch und könnte ein paar Tipps gebrauchen.