Ich habe jetzt einen Sperrschwellenwert für unsere Domäne aktiviert und mein DC-Überwachungsprotokoll ist VOLL mit 4740 „Ein Benutzerkonto wurde gesperrt“ für das Domänenadministratorkonto, es ist jedoch NICHT gesperrt und der Anrufercomputername ist leer. Irgendwelche Ideen, was hier los ist? Es ist ein Server 2012 DC.
Antwort1
Nach weiteren Recherchen stellte sich heraus, dass es von mehreren Versuchen herrührte, das Domänenadministratorkennwort auf unserem RDS-Gateway mit Brute-Force-Methoden zu erbeuten. Ich habe RDPGuard jetzt eingerichtet und konfiguriert und es funktioniert zum Glück wunderbar und blockiert VIELE Versuche, unsere Systeme mit Brute-Force-Methoden zu erbeuten.