2 votos

¿Cómo debo interpretar ID 4624 Tipo 3 eventos en un controlador de dominio?

Estoy viendo un montón de ID 4624 Eventos (Tipo de Inicio de sesión 3) en un controlador de dominio (Windows Server 2012) y me pregunto lo que los eventos que quiere decirme.

He leído que 4624 Tipo 3 eventos en un controlador de dominio a decir que existe una red de inicio de sesión en el dominio de AD, pero no entiendo a qué Direcciones de Red de Origen significa. Es donde el inicio de sesión de vino de o es el destino en el que el usuario quiere entrar?

enter image description here

0voto

NoviceCoding Puntos 1112

Las direcciones de red de origen sería la dirección de la solicitud se originó, pero que podría ser el host local o un medio por el cual la información de la fuente no está incluido.

Usted puede haber llegado a través de ella, ya, pero el siguiente incluye un montón de detalle, junto con algunos útiles de auditoría enfoques:

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624

Espero que ayude

0voto

Paul Delasaux Puntos 420

Validar los registros PTR y Enlazar el Sitio a una Subred

Si a usted le gustaría ver a una dirección de red en el registro de eventos hay dos cosas que usted puede hacer para remediarlo.

1. En el servidor DNS, validar que tiene una zona de búsqueda inversa. Si no, crear uno con la dirección de red de los hosts de la subred.

2. Abrir Sitios de Active Directory y Servicios. Profundizar a través de los Sitios de > Subredes'. Validar una subred se crea con la dirección de red MÁSCARA de subred y que está enlazado al sitio que existe dentro de esa subred (la que el DC es en).

3. En la DC, abrir un administrador cmd símbolo del sistema y escriba 'ipconfig /registerdns'

Ahora debería ver el registro PTR para el DC es la nueva Zona de Búsqueda Inversa DNS. Si usted tiene subredes adicionales con los anfitriones en ellos, crear zonas de búsqueda inversa para los anfitriones.

El 'ID 4624 Eventos (Tipo de Inicio de sesión 3) la información de eventos debe mostrar ahora la subred. El tipo 3 caso es cuando el cliente accede a la netlogon y/o sysvol acciones para scripts de inicio de sesión o la directiva de grupo de la enumeración y de la aplicación.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: