2003 R2 X64 SP2 中奇怪的审计失败

2003 R2 X64 SP2 中奇怪的审计失败

我们的服务器运行的是 2003 R2 X64 SP2,我们不断看到这种情况以大约 4 个快速群集的形式出现。有时间隔 2 小时,有时间隔约 8 小时,略有不同。我还在帐户锁定消息中看到相同的空白用户名和域,我尝试禁用所有计划任务,如果有人有任何想法,请告诉我!我发现这些进程耗尽了 svc 主机:

AeLookupSvc、AppMgmt、BITS、浏览器、CryptSvc、dmserver、EventSystem、helpsvc、IAS、lanmanserver、lanmanworkstation、Netman、Nla、RasMan、Schedule、seclogon、SENS、SharedAccess、ShellHWDetection、winmgmt、wuauserv、WZCSVC

登录失败:原因:帐户当前已禁用
用户名:


域:

登录类型:3
登录过程:Authz

身份验证包:Kerberos
工作站名称:PPCLUBES_TS
呼叫者用户名:PPCLUBES_TS$
呼叫者域:PPCLUBES
呼叫者登录 ID:(0x0,0x3E7)
呼叫者进程 ID:928
传输服务:-
源网络地址:-
源端口:-

答案1

据我所知,如果服务尝试使用内置系统帐户登录,则假设 PPCLUBES_TS 是记录消息的服务器的名称。

请尝试以下操作:

  1. 停止 WMI 服务

    停止 winmgmt

  2. 等待观察事件是否再次发生

如果这似乎解决了问题,你可以重新编译 SCM.mof

  1. 在 cmd 提示符下输入以下内容(将 00:00 替换为几分钟后的时间):

    在 00:00 /交互式 cmd.exe

  2. 当新的 cmd 提示符启动时,切换到它

  3. 将目录更改为 C:\Windows\System32\wbem
  4. 执行以下命令d

    mofcomp scm.mof

  5. 启动/重新启动 WMI 服务

    网络启动winmgmt

相关内容