У нас есть сеть с 1 основным контроллером домена и 3 дополнительными контроллерами домена.
Мы пытаемся идентифицировать пользователя, который пытался использовать чужие учетные данные для доступа к некоторым ресурсам в нашей организации. На этом этапе мы хотим увидеть, с каких компьютеров были неудачные попытки входа с соответствующим пользователем.
Мы включили аудит успешных и неудачных событий PDC для событий входа в учетную запись и входа в систему, и я провел несколько тестов со своего компьютера.
Неудачная попытка действительно регистрируется в Event Viewer, но клиентский IP совершенно неверный (он регистрирует не мой IP, а один из дополнительных контроллеров домена). Что мне нужно сделать, чтобы отследить РЕАЛЬНЫЙ IP?
Я предполагаю, что рабочая станция подключается к первому доступному контроллеру домена, и этот DC аутентифицируется на PDC. Но как мне решить эту проблему?
Спасибо!
РЕДАКТИРОВАТЬ Как указано в комментариях, я посмотрел на ADC, о котором сообщил PDC, но не было неудачных попыток входа. Настройки политики безопасности, похоже, применяются ко всем DC из домена, поэтому он должен был это зарегистрировать...
По теме Я провел несколько тестов на рабочей станции XP: включил аудит доступа к объектам, добавил пользователей для отслеживания, а также включил аудит входа в систему; но он регистрирует ТОЛЬКО имя пользователя, а не IP-адрес (или хотя бы имя) рабочей станции — даже в отчете о безопасности входа в систему!!!.
Я должен сказать, что я действительно разочарован этими функциями продукта, который позиционирует себя как корпоративный. Либо это, либо я делаю что-то не так, и мне бы пригодились некоторые указания.
решение1
В журнале событий контроллера домена, обрабатывающего запрос, будет зарегистрировано событие с IP-адресом клиента.
Это 2003 или NT4?
Также прочитайте этот документ, он оказал нам огромную помощь в отслеживании того, какой клиент вызывал похожую проблему.
Technet: Поддержание и мониторинг блокировки аккаунта
Ура...Гари