ID события 4625 регистрируется каждые 5 минут при использовании пакета управления Exchange 2010 г. в Operations Manager
В этой статье описывается по-конструкторское поведение, которое регистрируется каждые 5 минут при использовании пакета управления Microsoft Exchange 2010 г. в System Center Operations Manager.
Оригинальная версия продукта: System Center 2012
Исходный номер КБ: 2591305
Симптомы
При использовании пакета Exchange 2010 года в System Center Operations Manager вы можете получать событие сбоя аудита безопасности в журнале событий безопасности каждые 5 минут. Вот пример события:
Имя журнала: безопасность
Источник: Microsoft-Windows-Security-Auditing
Дата:
ID события: 4625
Категория задач: Logon
Уровень: Сведения
Ключевые слова: сбой аудита
Пользователь: N/A
Компьютер: ComputerName
Описание:
Учетная запись не смогла войти в систему.
Учетная запись, для которой не удалось использовать logon:
ID безопасности: NULL SID
Имя учетной записи: Aextest_
Домен учетной записи:
Сведения о сбоях:
Причина отказа: неизвестное имя пользователя или плохой пароль.
Состояние: 0xc000006d
Состояние sub: 0xc0000064
Сведения о сети:
Имя рабочей станции: WorkstationName
Адрес сети источника: SourceNetworkAddress
Исходный порт: 30956
Причина
Решение
Это событие можно игнорировать, как и по проекту.
Код события 4625 тип входа 3
Коллеги добрый день.
На одном из серверов появляется данное сообщение:
Учетной записи не удалось выполнить вход в систему.
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: fortest
Домен учетной записи: RUSSLAVBANK
Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xc00002ee
Подсостояние: 0x0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Что мы сделали:
Подняли уровень домена и леса до Windows Server 2008 R2
Мы точно не знаем, связано это с этим или нет. Но после данной операции клиенты на которых установлена Windows XP SP3 (SP2) не могут подключиться к серверу (Windows Server 2008 R2)
Пользователи Windows 7 (Windows Server 2008 \ 2008 R2) могут подключиться.
На сервере нечего не делали, никаких Firewall между клиентом и сервером нет.
Наверное что-то с политикой. Типо подписывания SMB или что-то ещё.
С клиентов Windows XP можем подключиться к этому серверу по RDP и по SMB (видим шары)
Событие 4625
Уже с год наблюдаю ошибку в логах 4625, ошибка связанная с попыткой входа по RDP. Но к сожалению в логах увидеть кто и откуда не представляется возможным.
В логах постоянно вот такая штука появлялась:
Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: NULL SID Имя учетной записи: — Домен учетной записи: — Код входа: 0x0 Тип входа: 3 Учетная запись, которой не удалось выполнить вход: ИД безопасности: NULL SID Имя учетной записи: АДМИНИСТРАТОР Домен учетной записи: Сведения об ошибке: Причина ошибки: Неизвестное имя пользователя или неверный пароль. Состояние: 0xC000006D Подсостояние: 0xC000006A Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x0 Имя процесса вызывающей стороны: — Сведения о сети: Имя рабочей станции: — Сетевой адрес источника: — Порт источника: — Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: — Имя пакета (только NTLM): — Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe. В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. — В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход. — Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM. — Поле «Длина ключа» содержит длину созданного сеансового ключа. Это поле может иметь значение «0», если сеансовый ключ не запрашивался.
Периодичность таких ошибок ничем не связана. Может за раз появиться только один раз, может наоборот под 200 штук набежать. По началу думал, что проблема в сети, мол клиент какой то лезет, но проверив методом исключений, я понял. Клиент был и был он снаружи, а это значит что мы имеем самый настоящий bruteforce.
Помогла утилита Cyberarms IDDS, которая прекрасно смогла отобразить ip адрес недоброжелателя и окончательно понять, что он снаружи ломится на сервак.
Программа достаточна проста в настройке и дополнительных знаний не требует. Необходимо сразу произвести настройку мониторинга присутствующих агентов и просто закрыть, так как программа работает как служба.
Не забываем проставлять напротив интересующих нас «служб» галочку Enable и жать кнопку Save.
В итоге работы получил вот такой отчет:
Cyberarms IDDS работает с правилами Windows FireWall и нежелательные лица добавляет туда.
Код события 4625 тип входа 3
Этот форум закрыт. Спасибо за участие!
Спрашивающий
Общие обсуждения
Стали часто сыпаться такие ошибки. Судя по логам возможно проблемы согласования с Kerberos. Как провести поиск неисправности? Или как лог сделать более детальным?
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 30.10.2012 8:25:03
Код события: 4625
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: Merlin.okg.local
Описание:
Учетной записи не удалось выполнить вход в систему.
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Administrator
Домен учетной записи: OKG
Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xc00002ee
Подсостояние: 0x0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Xml события:
Все ответы
Связано это может быть, например, с рассинхронизацией времени. Смотрите в журнал событий системы.
Не помогло. В логах системы ничего не было, включил логи kerberos, появилось 2 ошибки:
Только почему там пусто имя клиента, время клиента и т.д. Не понятно от кого идет запрос?
Имя журнала: System
Источник: Microsoft-Windows-Security-Kerberos
Дата: 31.10.2012 14:21:29
Код события: 3
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: Merlin.okg.local
Описание:
Получено сообщение об ошибке Kerberos:
в сеансе входа в систему
Время клиента:
Время сервера: 10:21:29.0000 10/31/2012 Z
Код ошибки: 0xd KDC_ERR_BADOPTION
Расширенная ошибка: 0xc00000bb KLIN(0)
Сфера клиента:
Имя клиента:
Сфера сервера: OKG.LOCAL
Имя сервера: merlin$@OKG.LOCAL
Конечное имя: merlin$@OKG.LOCAL@OKG.LOCAL
Текст ошибки:
Файл: 9
Строка: f09
Данные ошибки в данных записи.
Xml события:
3
0
2
0
0
0x80000000000000
431749
System
Merlin.okg.local
10:21:29.0000 10/31/2012 Z
0xd
KDC_ERR_BADOPTION
0xc00000bb KLIN(0)
OKG.LOCAL
merlin$@OKG.LOCAL
merlin$@OKG.LOCAL@OKG.LOCAL
9
f09
3015A103020103A20E040CBB0000C00000000003000000
1. Проверить согласованность времени
Найдено существующее SPN.
Вот эти точно лишние у пользователя Administrator
ldap/Merlin.okg.local:2171
ldap/MERLIN:2171
E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM/Merlin.okg.local:2171
E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM/MERLIN:2171
Переместите их объекту CN=MERLIN,OU=Domain Controllers,DC=okg,DC=local путём редактирования свойства servicePrincipalName.
Если почитать внимательно логи то можно 100% встретить ошибку о задорности имён и указывать она будет на ldap/Merlin.okg.local:2171.
Найдено существующее SPN.
Я нашел пакет Kerberos, после которого появляется ошибка.
Он идет от сетевой карты удаленного сервера(VPN, контроллер нашего домена в другом сайте).
Но на том сервере если смотреть пакеты по всем интерфейсам, не удается отследить какой пакет вызывает передачу через VPN. Например смотрю пакеты на удаленном сервере, активности нет, а на локальном сервере поступает пакет.
Ещё мне не очень понятно, почему порт(в пакете, который вызывает отказ аудита) назначения всегда разный(12577, 26231, 35010, 35006 ). Кому адресован пакет?
Динамический диапозон должен быть открыт между контроллерами.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий
Коллеги у нас похожая проблема.
Повысили уровень домена с 2003 на 2008 R2.
Клиенты с Windows XP перестали заходить на сервера Windows 2008 R2 (программка клиент-серверная)
Типо подключение идёт по дком. Приложение выдаёт ошибку. в Журнале вот такие записи!
Учетной записи не удалось выполнить вход в систему.
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: fortest
Домен учетной записи: RUSSLAVBANK
Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xc00002ee
Подсостояние: 0x0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Но с этих же Windows XP я могу спокойно открывать шары на этом сервере и подключаться к RDP.
У нас домен, время на всех ДЦ одинаковое, время на клиентах и сервере тоже одинаковые.
Код события 4625 тип входа 3
Коллеги добрый день.
На одном из серверов появляется данное сообщение:
Учетной записи не удалось выполнить вход в систему.
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: fortest
Домен учетной записи: RUSSLAVBANK
Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xc00002ee
Подсостояние: 0x0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Что мы сделали:
Подняли уровень домена и леса до Windows Server 2008 R2
Мы точно не знаем, связано это с этим или нет. Но после данной операции клиенты на которых установлена Windows XP SP3 (SP2) не могут подключиться к серверу (Windows Server 2008 R2)
Пользователи Windows 7 (Windows Server 2008 \ 2008 R2) могут подключиться.
На сервере нечего не делали, никаких Firewall между клиентом и сервером нет.
Наверное что-то с политикой. Типо подписывания SMB или что-то ещё.
С клиентов Windows XP можем подключиться к этому серверу по RDP и по SMB (видим шары)




