我們的網路有 1 個主網域控制器和 3 個附加網域控制器。
我們正在嘗試識別試圖使用其他人的憑證來存取我們組織中的某些資源的使用者。此時,我們希望查看哪些電腦上對應使用者的登入嘗試失敗。
我們在 PDC 上啟用了帳戶登入事件和登入事件的成功和失敗審核,並且我在電腦上進行了一些測試。
失敗的嘗試確實記錄在事件檢視器中,但客戶端 IP 完全錯誤(它沒有記錄我的 IP,而是記錄其他網域控制站之一)。我需要做什麼才能追蹤真實 IP?
我假設工作站連接到第一個可用的網域控制器,並且 DC 向 PDC 進行身份驗證。但我該如何解決這個問題呢?
謝謝你!
編輯 正如評論中所述,我查看了 PDC 報告的 ADC,但沒有失敗的登入嘗試。安全性原則設定似乎適用於網域中的所有 DC,因此它應該已記錄它...
在相關說明中 我用 XP 工作站做了一些測試:我啟用了物件存取審核,新增了要追蹤的用戶,也啟用了登入審核;但它只記錄用戶名,而不記錄工作站的 IP(或至少是名稱)——甚至不在登入安全性報告中!
我必須說,我對一個以企業級產品自居的產品的這些功能感到非常失望。要么是這樣,要么我做錯了什麼,我可以使用一些指針。
答案1
處理請求的 DC 將在其事件日誌中包含一個帶有客戶端 IP 的事件。
這是2003年還是NT4?
另請閱讀此文檔,它對我們追蹤哪個客戶端導致類似問題有很大幫助。
乾杯...加里