我们的服务器运行的是 2003 R2 X64 SP2,我们不断看到这种情况以大约 4 个快速群集的形式出现。有时间隔 2 小时,有时间隔约 8 小时,略有不同。我还在帐户锁定消息中看到相同的空白用户名和域,我尝试禁用所有计划任务,如果有人有任何想法,请告诉我!我发现这些进程耗尽了 svc 主机:
AeLookupSvc、AppMgmt、BITS、浏览器、CryptSvc、dmserver、EventSystem、helpsvc、IAS、lanmanserver、lanmanworkstation、Netman、Nla、RasMan、Schedule、seclogon、SENS、SharedAccess、ShellHWDetection、winmgmt、wuauserv、WZCSVC
登录失败:原因:帐户当前已禁用
用户名:
域:
登录类型:3
登录过程:Authz
身份验证包:Kerberos
工作站名称:PPCLUBES_TS
呼叫者用户名:PPCLUBES_TS$
呼叫者域:PPCLUBES
呼叫者登录 ID:(0x0,0x3E7)
呼叫者进程 ID:928
传输服务:-
源网络地址:-
源端口:-
答案1
据我所知,如果服务尝试使用内置系统帐户登录,则假设 PPCLUBES_TS 是记录消息的服务器的名称。
请尝试以下操作:
停止 WMI 服务
停止 winmgmt
等待观察事件是否再次发生
如果这似乎解决了问题,你可以重新编译 SCM.mof
在 cmd 提示符下输入以下内容(将 00:00 替换为几分钟后的时间):
在 00:00 /交互式 cmd.exe
当新的 cmd 提示符启动时,切换到它
- 将目录更改为 C:\Windows\System32\wbem
执行以下命令d
mofcomp scm.mof
启动/重新启动 WMI 服务
网络启动winmgmt