기본 도메인 컨트롤러 1개와 추가 도메인 컨트롤러 3개가 있는 네트워크가 있습니다.
우리 조직의 일부 리소스에 액세스하기 위해 다른 사람의 자격 증명을 사용하려고 시도한 사용자를 식별하려고 노력하고 있습니다. 이 시점에서 우리는 해당 사용자에 대한 로그온 시도가 실패한 컴퓨터를 확인하려고 합니다.
계정 로그온 이벤트 및 로그온 이벤트에 대한 PDC 성공 및 실패 감사를 활성화했으며 내 컴퓨터에서 몇 가지 테스트를 수행했습니다.
실패한 시도는 실제로 이벤트 뷰어에 기록되지만 클라이언트 IP는 완전히 잘못되었습니다(내 IP를 기록하지 않고 추가 도메인 컨트롤러 중 하나를 기록하고 있습니다). 실제 IP를 추적하려면 어떻게 해야 합니까?
워크스테이션이 사용 가능한 첫 번째 도메인 컨트롤러에 연결되고 DC가 PDC에 인증된다고 가정합니다. 그런데 이 문제를 어떻게 해결하나요?
감사합니다!
편집하다 댓글에 명시된 대로 PDC에서 보고한 ADC를 살펴봤지만 실패한 로그온 시도는 없었습니다. 보안 정책 설정은 도메인의 모든 DC에 적용되는 것으로 보이므로 이를 기록해야 합니다.
관련 메모에 XP 워크스테이션을 사용하여 몇 가지 테스트를 수행했습니다. 개체 액세스 감사를 활성화하고, 추적할 사용자를 추가하고, 로그온 감사도 활성화했습니다. 그러나 워크스테이션의 IP(또는 최소한 이름)는 아닌 사용자 이름만 기록합니다. 심지어 로그온 보안 보고서에도 기록되지 않습니다!!!.
기업 수준으로 판매되는 제품의 이러한 기능에 정말 실망했다고 말하고 싶습니다. 아니면 내가 뭔가 잘못하고 있어서 몇 가지 지침을 사용할 수 있습니다.
답변1
요청을 처리하는 DC의 이벤트 로그에는 클라이언트 IP가 포함된 이벤트가 있습니다.
2003인가요, 아니면 NT4인가요?
또한 이 문서를 읽으면 어떤 클라이언트가 유사한 문제를 일으키는지 추적하는 데 큰 도움이 되었습니다.
건배... 게리