Temos uma rede com 1 controlador de domínio primário e 3 controladores de domínio adicionais.
Estamos tentando identificar um usuário que tentou usar as credenciais de outra pessoa para acessar alguns recursos da nossa organização. Neste ponto, queremos ver em quais computadores houve tentativas malsucedidas de logon com o respectivo usuário.
Habilitamos as auditorias de sucesso e falha do PDC para evento de logon de conta e evento de logon e fiz alguns testes em meu computador.
A tentativa fracassada é realmente registrada no Visualizador de Eventos, mas o IP do cliente está totalmente errado (não está registrando meu IP, mas sim um dos controladores de domínio adicionais). O que preciso fazer para rastrear o ip REAL?
Presumo que a estação de trabalho se conecte ao primeiro controlador de domínio disponível e que o DC seja autenticado no PDC. Mas como faço para resolver isso?
Obrigado!
EDITAR Conforme declarado nos comentários, procurei o ADC relatado pelo PDC, mas não houve tentativas de logon com falha. As configurações da política de segurança parecem se aplicar a todos os controladores de domínio do domínio, portanto, deveriam ter sido registrados ...
Em uma nota relacionada Fiz alguns testes com uma estação de trabalho XP: habilitei a auditoria de acesso a objetos, adicionei os usuários para rastrear, habilitei também a auditoria de log on; mas registra SOMENTE o nome de usuário, não o ip (ou pelo menos o nome) da estação de trabalho - nem mesmo no relatório de segurança de logon!!!.
Devo dizer que estou muito decepcionado com esses recursos de um produto que se vende como nível empresarial. Ou isso, ou estou fazendo algo errado e preciso de algumas dicas.
Responder1
O DC que processa a solicitação terá um evento em seu log de eventos com o IP do cliente.
Isso é 2003 ou NT4?
Leia também este documento, foi uma grande ajuda para rastrearmos qual cliente estava causando um problema semelhante.
Technet: Manutenção e monitoramento de bloqueio de conta
Felicidades...Gary