Estamos tendo problemas com contas frequentemente bloqueadas.
Estamos tendo 4771 eventos {Bad Password} em nosso DC principal. Problema: Dentro do evento, a máquina cliente não é mostrada corretamente. Em vez disso, outro DC é mostrado como nome de host do cliente:
apenas em raras ocasiões o nome real do host do cliente é mostrado. Qual poderia ser a causa disso?
Responder1
O que você está vendo é um logon ocorrendo em outro controlador de domínio e, posteriormente - como acontece com todas as tentativas de senha incorreta no Active Directory - o servidor de logon original encaminhando a autenticação para o DC com a função FSMO do emulador PDC para verificar novamente a senha -- para garantir que não houve alteração de senha que ainda não tenha sido replicada, como o PDCedeveser notificado preferencialmente sobre qualquer alteração de senha.
As raras ocasiões em que um nome de host de cliente real é mostrado é porque o PDCe é o servidor de logon original dessa solicitação e não precisa verificar com nenhum outro DC para confirmação.