আমাদের মধ্যে একটি ডোমেন অ্যাকাউন্ট রয়েছে যা 2 টির মধ্যে 1 টি সার্ভারের মাধ্যমে লক আউট হয়ে আসছে। অন্তর্নির্মিত নিরীক্ষণ কেবল আমাদের এটাই জানায় (SERVER1, SERVER2 থেকে লক আউট)।
অ্যাকাউন্টটি 5 মিনিটের মধ্যে লক আউট হয়ে যায়, প্রতি মিনিটে প্রায় 1 টি অনুরোধ বলে মনে হয়।
আমি অ্যাকাউন্টটি আনলক করার পরে কোনও নতুন প্রক্রিয়া শুরু হচ্ছে কিনা তা দেখার জন্য আমি প্রথমে প্রোমন চালানোর চেষ্টা করেছি (সিস্টারাল থেকে)। সন্দেহজনক কিছুই আসে না। আমার ওয়ার্কস্টেশনে প্রোমন চালানোর পরে এবং কোনও ইউএসি শেলকে উন্নত করার পরে (কনসেন্ট.এক্সি) মনে হয় এটি স্ট্যাক থেকে মনে হয় ntdll.dllএবং rpct4.dllযখন আপনি AD এর বিরুদ্ধে লেখার চেষ্টা করবেন তখন ফোন করা হবে (নিশ্চিত নয়)।
যে কোনও প্রক্রিয়া আমাদের ডিসি-তে একটি প্রমাণীকরণের অনুরোধ সৃষ্টি করছে তা সংকুচিত করার জন্য কি আছে? এটি সর্বদা একই ডিসি তাই আমরা জানি যে এটি অবশ্যই সেই সাইটে একটি সার্ভার হতে হবে। আমি ওয়্যারশার্কে কলগুলি সন্ধান করার চেষ্টা করতে পারি, তবে আমি নিশ্চিত নই যে কোন প্রক্রিয়াটি আসলে এটি চালু করছে তা সংকীর্ণ করবে।
কোনও পরিষেবা, ড্রাইভ ম্যাপিংস বা তফসিলযুক্ত কাজগুলি সেই ডোমেন অ্যাকাউন্টটি ব্যবহার করছে না - তাই এটি অবশ্যই এমন কিছু হতে হবে যা ডোমেনের শংসাপত্র সঞ্চিত আছে। কোনও ডোমেইন অ্যাকাউন্টের সাথে কোনও সার্ভারে খোলা আরডিপি সেশন নেই (আমরা চেক করেছি)।
আরও নোট
হ্যাঁ, "সাফল্য / ব্যর্থতা" লগন নিরীক্ষণগুলি ডিসি-তে প্রশ্নযুক্ত সক্রিয় রয়েছে - অ্যাকাউন্টটি লক আউট না হওয়া পর্যন্ত কোনও ব্যর্থতার ইভেন্ট লগ হয় না।
আরও খনন অনুষ্ঠান LSASS.exeএকটি তোলে KERBEROSপ্রশ্নে ডিসি থেকে কল অ্যাকাউন্ট আনলক করা আছে একবার। এটি জাভা দ্বারা পূর্ববর্তী (সাধারণত) যা বলে মনে হয় vpxd.exeযা দ্বারা বলা একটি ভিসেন্টার প্রক্রিয়া। কিন্তু, যখন আমি অন্য "সার্ভার 2" এ দেখি তখন অ্যাকাউন্ট লকআউটটিও ঘটতে পারে (আমি) কখনই কল করতে দেখি না lsass.exeএবং কেবল অ্যাপাচি প্রক্রিয়াগুলি স্প্যান করা হচ্ছে। দু'জনের একমাত্র সম্পর্ক হ'ল SERVER2 হ'ল SERVER1 এর vSphere ক্লাস্টারের অংশ (সার্ভার 1 একটি vSphere ওএস হচ্ছে)।
ডিসিতে ত্রুটি
সুতরাং, এটির মাধ্যমে এডি থেকে যা বলা হচ্ছে তা হ'ল এটি একটি প্রাক-লেখক কার্বেরোস ত্রুটি। আমি চেক করেছিলাম এবং সাথে কোনও টিকিট নেই klistএবং কেবল ক্ষেত্রে ফ্লাশ করেছি a এই কার্বেরোস ত্রুটিটি কী কারণে ঘটছে তা এখনও জানেন না।
Index : 202500597
EntryType : FailureAudit
InstanceId : 4771
Message : Kerberos pre-authentication failed.
Account Information:
Security ID: S-1-5-21-3381590919-2827822839-3002869273-5848
Account Name: USER
Service Information:
Service Name: krbtgt/DOMAIN
Network Information:
Client Address: ::ffff:x.x.x.x
Client Port: 61450
Additional Information:
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Certificate information is only provided if a certificate was used for pre-authentication.
Pre-authentication types, ticket options and failure codes are defined in RFC 4120.
If the ticket was malformed or damaged during transit and could not be decrypted, then many fields
in this event might not be present.