몇 주 동안 우리의 모든 DC는 "관리자"에 대한 수천 번의 로그인 실패를 받았습니다. 이벤트 뷰어는 메시지 아래에 기록합니다. 참고 네트워크에 해당 이름을 가진 컴퓨터나 서버가 없으며 매우 일반적인 것처럼 보입니다. 연결을 추적하려고 시도했지만 ProcessMonitor, Antimalware, 내부 포트 등은 아무것도 표시되지 않습니다. 이것을 더 추적하는 방법에 대한 아이디어가 있는 사람이 있습니까?
이벤트 ID: 4776 유형: 네트워크
Logon Account: Administrator
Source Workstation: Windows2016
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: FreeRDP
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: Windows2012
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: Windows10
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.```
답변1
서버에서 Wireshark를 실행한 다음 Kerberos 트래픽을 찾을 수 있습니다. 도메인에 서버가 많으면 시간이 많이 걸리는 접근 방식입니다.