我们的网络有 1 个主域控制器和 3 个附加域控制器。
我们正在尝试识别试图使用他人凭据访问我们组织中的某些资源的用户。此时,我们想查看该用户在哪些计算机上尝试登录失败。
我们启用了帐户登录事件和登录事件的 PDC 成功和失败审核,并且我从我的计算机上进行了一些测试。
失败的尝试确实记录在事件查看器中,但客户端 IP 完全错误(它没有记录我的 IP,而是记录了其中一个附加域控制器)。我需要做什么来跟踪真实 IP?
我假设工作站连接到第一个可用的域控制器,并且该 DC 向 PDC 进行身份验证。但是我该如何解决这个问题呢?
谢谢你!
编辑 正如评论中所述,我查看了 PDC 报告的 ADC,但没有登录尝试失败。安全策略设置似乎适用于域中的所有 DC,因此应该记录它...
相关说明 我用 XP 工作站做了一些测试:我启用了对象访问审核,添加了要跟踪的用户,还启用了登录审核;但它只记录用户名,而不是工作站的 IP(或至少是名称)——甚至不在登录安全报告中!!!。
我不得不说,我对这款自称是企业级的产品的这些功能感到非常失望。要不然,我可能做错了什么,需要一些指点。
答案1
处理请求的 DC 将在其事件日志中包含客户端 IP 的事件。
这是 2003 还是 NT4?
另外请阅读一下这个文档,它对我们追踪哪个客户端导致了类似的问题有很大的帮助。
干杯...加里