帐户登录失败事件

帐户登录失败事件

我们有一台运行 SQL 2008 R1 的服务器。我们在 DMZ 中有一个 Web 服务器,它通过防火墙连接到 SQL 服务器,并使用域用户帐户执行 SQL Reporting Services 报告。

在 SQL 服务器上,事件日志一直在审核此域用户的失败“帐户登录”事件(事件 ID 680,代码 0xC0000064)。但是,对于每个失败事件,同一个域帐户都有一个成功的登录/注销事件(事件 ID 540)。需要注意的是,帐户登录事件中的用户名被指定为 UPN[电子邮件保护]),但登录/注销事件中的用户名指定为 DOMAIN\Username。这些事件必须与 SSRS 相关,因为这是唯一应该使用相关帐户的连接。

此外,在监控我们的域控制器时,每次出现帐户登录事件之一时,域控制器 CPU 使用率就会飙升至 80% 或更高。我不确定这两者是否有关联。

在我的研究中,我读到的所有内容都表明,在对用户进行身份验证时,域控制器会记录帐户登录事件。因此,我的问题是:

  1. 如果我的 SQL 服务器应该将帐户登录事件视为域控制器事件,那为什么它要记录该事件呢?
  2. 为什么在一个事件中指定了 UPN,但在另一个事件中指定了 DOMAIN\Username 格式?
  3. 我没有注意到我的应用程序有任何中断,因此登录失败不会影响它。为什么会这样?

更新:

我们的 Intranet 上也运行着相同的 Web 应用程序。我刚刚注意到,此应用程序不会导致生成这些相同的事件。当该应用程序连接到 SSRS 时,它会记录几个成功的登录/注销事件,但根本没有帐户登录事件。因此,这似乎与 DMZ 中的另一台服务器有关。我还注意到,Intranet 连接生成的事件显示 Kerberos 是使用的身份验证方法。但是,从 DMZ 连接生成的成功登录/注销事件指示 NTLM。

答案1

域控制器上的 LmCompatibilityLevel 注册表值是多少?

如果使用 UPN 格式并且 LmCompatibilityLevel 条目的值等于或大于 3,则在基于 Windows Server 2003 的服务器上对受信任用户的身份验证将失败

http://support.microsoft.com/kb/947861

Lm兼容性级别
http://technet.microsoft.com/en-us/library/cc960646.aspx

相关内容