1 votos

TONELADAS de 4625 eventos. Intentos de inicio de sesión fallidos. Sin IP, sin nombre de usuario

Tengo un servidor que pone mantiene llegar error de eventos de inicio de sesión (4625). Se producen aproximadamente cada 20 a 30 minutos diarios. También parece ser en un horario.

He intentado borrar las credenciales almacenadas. La desactivación de RDS. He tratado de localizar a un patrón con Procmon y Wireshark, y en un momento pensé que podría ser el de los servicios de Labtech (ConnectWise Automatizar) sino que deshabilitar temporalmente, de no hacer una diferencia.

Una cuenta no pudo iniciar la sesión.

Tema:

Security ID:        SYSTEM

Account Name:       SERVER$

Account Domain:     DOMAIN

Logon ID:       0x3E7

Tipo De Inicio De Sesión: 3

Cuenta Para Que Error De Inicio De Sesión:

Security ID:        NULL SID

Account Name:       

Account Domain:     

Información De Error:

Failure Reason:     Unknown user name or bad password.

Status:         0xC000006D

Sub Status:     0xC0000064

Información Del Proceso:

Caller Process ID:  0x2f4

Caller Process Name:    C:\Windows\System32\lsass.exe

La Información De La Red:

Workstation Name:   SERVER

Source Network Address: -

Source Port:        -

Detallada Información De Autenticación:

Logon Process:      Schannel

Authentication Package: Kerberos

Transited Services: -

Package Name (NTLM only):   -

Key Length:     0

0voto

Como usted menciona, muy fiew informaciones útiles son proporcionados en este evento. Lo que podemos ver es:

  • Código de Error: 0xC0000064 > STATUS_NO_SUCH_USER / cuenta no existente
  • Tipo de inicio de sesión: 3 > red o RDP con NLA
  • Authenticaiton paquete: Kerberos
  • Origen del nombre de host: el propio servidor

En pocas palabras, "algo" es runinng a nivel local con un nombre de usuario incorrecto y está intentando autenticar a través de la red utilizando Kerberos protocolo.

Por lo tanto, el único "pistas" que le puedo sugerir que son:

  • Buscar posibles eventos ID 4776 (validación de Credenciales)
  • Mira en el DC registros de extraño error de Kerberos eventos Id: 4771, 4768
  • En el monitor de Recursos, mirar por encima de la pestaña diferente y buscar un proceso que puede abrir varias consultas a nivel local
  • En el PerfMon > sesión de Seguimiento, mira si cualquier exsiting seguimiento de sesión desde el software puede ayudar a que
  • ¿Qué acerca de los registros de aplicación de ConnectWise ?

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: