আমাদের প্রায় 15 সার্ভার এবং প্রায় 30 টি ওয়ার্কস্টেশন সহ একটি ডোমেন রয়েছে। সার্ভারগুলি বেশিরভাগই ২০০r২ এবং ওয়ার্কস্টেশনগুলি বেশিরভাগ উইন্ডোজ are. দুটি ডিসি 2012r2 হয়। প্রতি কয়েক সপ্তাহে, আমাদের অ্যাডমিন অ্যাকাউন্টগুলির একটি লক হয়ে যায়। আমি কারণটি সঙ্কীর্ণ করার চেষ্টা করছি এবং আমি একটি শেষের দিকে পৌঁছেছি।
আমার যা আছে তা এখানে।
পিডিসিতে ইভেন্ট লগ ইভেন্ট 4776 দেখায় - নিরীক্ষণের সাফল্য:
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: username
Source Workstation:
Error Code: 0x0
সমস্ত একই ব্যবহারকারীর জন্য এবং এক সেকেন্ডে কয়েকবার পুনরাবৃত্তি হয়।
ইভেন্ট আইডির উপর ভিত্তি করে এগুলি কার্বেরোসের চেয়ে এনটিএলএম লগইন। যদিও প্রমাণীকরণের ধরণটি শিয়ার পরিমাণের তুলনায় আমার কাছে কম উদ্বেগজনক। এটি সেকেন্ডে বেশ কয়েকবার ঘটে এবং প্রতিটি ঘন্টা বা রাত বা সাপ্তাহিক সপ্তাহে কয়েক সেকেন্ডের বিজ্ঞাপনের পুনরাবৃত্তি করে।
ইভেন্ট লগও এই ব্যবহারকারীর ব্যবহারের জন্য নিরীক্ষণ সাফল্যের ইভেন্ট আইডি 4624 (লগন) এবং 4634 (লগঅফ) দেখায়, তবে "ওয়ার্কস্টেশন" ক্ষেত্রের উপরের ইভেন্টটি খালি রয়েছে।
আমি ভার্বোজ নেটলগন লগিং এবং নেটলগন.লগ শো সক্ষম করেছি
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Entered
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Returns 0x0
এবং তাই এবং তাই ঘোষণা. এই লগইনগুলির আপাত উত্স (এক্সওয়াইজেডের মাধ্যমে) নেটওয়ার্ক জুড়ে ওয়ার্কস্টেশন এবং সার্ভার অন্তর্ভুক্ত থাকতে পারে।
স্পষ্টত এটি অটোমেশন বা স্ক্রিপ্টের মতো দেখাচ্ছে looks যেহেতু লগইনগুলি সাধারণত সমস্ত সফল, আমি বিশ্বাস করি না এটি একটি অনুপ্রবেশের প্রচেষ্টা। কিছু লগইন যদিও সময়ে সময়ে ব্যর্থ হয় তবে আমি ব্যর্থতার কোনও প্যাটার্ন সনাক্ত করতে পারি নি এবং এগুলি এত কম সময়ে ঘটে যে (বেশিরভাগ দিন) তারা অ্যাকাউন্টটি লক আউট করে না। যখন একটি থাকে তখন ব্যর্থতা কোডটি 0xc0000022 হয় (অ্যাক্সেস অস্বীকৃত)
আমি আমাদের রিমোট মনিটরিং এজেন্টকে (বর্তমানে ক্যাসিয়া, তবে আমরা শেষ পর্যন্ত ল্যাবটেকের দিকে চলে যাচ্ছি) সার্ভারগুলির মধ্যে একটি থেকে অক্ষম করেছি এবং আনইনস্টল করেছি, তবে এখনও সেই সার্ভার থেকে নতুন ঘটনা উদ্ভূত হয়েছে, সুতরাং এটি অটোমেশন কার্যগুলি বাতিল করে। আমি বেশ কয়েকটি সার্ভারে টাস্ক শিডিয়ুলারও পরীক্ষা করে দেখেছি এবং সাধারন কিছুই খুঁজে পাইনি। লগন অ্যাকাউন্টগুলি যাচাই করতে আমি পরিষেবাগুলি পরীক্ষা করেছি এবং এই অ্যাকাউন্টটি কোনও পরিষেবায় ব্যবহৃত হয় না।
আমি নেটস্যাটকে বেশ ভাল সময় চালিয়েছি এবং প্রাথমিকভাবে "সিস্টেম" এবং "সিস্টেম অলস প্রক্রিয়া" থেকে পিডিসির সংযোগ দেখেছি। আমি স্পোলসার্ভ এবং ল্যাসস এবং ইসমসার থেকে মাঝে মধ্যে সংযোগগুলি দেখতে পেয়েছি (যে সার্ভারটি আমি পরীক্ষা করছি এটি একটি সিট্রিক্স জেন অ্যাপ অ্যাপ্লিকেশন সার্ভার, তবে অন্যান্য "উত্স" সার্ভারগুলি জেন অ্যাপে ফার্মে নেই এবং অবশ্যই "উত্স" ওয়ার্কস্টেশনগুলিও নয়)। আমি কেবল পরীক্ষার জন্য মুদ্রণ স্পুলার পরিষেবাটি বন্ধ করে দিয়েছি এবং লগইন ইভেন্টগুলিতে এর কোনও প্রভাব পড়েনি।
আমি একটি এমএসপিতে কাজ করি এবং এটি আমাদের প্রাথমিক প্রযুক্তিবিদ ডম অ্যাডমিন অ্যাকাউন্ট, তাই এটি কাজ করা এবং সুরক্ষিত হওয়া উচ্চ অগ্রাধিকার। আমি যে সর্বশেষ ধারণাটি রেখে গেছি তা হ'ল পাসওয়ার্ড পরিবর্তন করা এবং কী কী ব্রেক হয় তা দেখুন, তবে অ্যাকাউন্টটি কী জন্য ব্যবহার করা হচ্ছে তা না জেনে সম্ভাব্য বিপর্যয়কর পরিণতি হতে পারে। যাইহোক, আমার সন্দেহ হ'ল এটি সম্ভবত একটি ভুল কনফিগার্ড এডি হতে পারে।
এর আগে কি কেউ এরকম কিছু অভিজ্ঞতা পেয়েছে এবং উত্সটি সনাক্ত করতে সক্ষম হয়েছে?