An account failed to log on.
Subject:
Security ID: S-1-0-0
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: xyzuser
Account Domain: srkt
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: Compname
Source Network Address: ipv4
Source Port: Randomhignumberport
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
当登录请求失败时会生成此事件。该事件在尝试访问的计算机上生成。主题字段指示请求登录的本地系统帐户。这通常是服务(例如服务器服务)或本地进程(例如Winlogon.exe或 )Services.exe。登录类型字段指示请求的登录类型。最常见的类型是 2(交互式)和 3(网络)。进程信息字段指示系统上的哪个帐户和进程请求了登录。网络信息字段指示远程登录请求的来源。工作站名称并非始终可用,在某些情况下可能留空。身份验证信息字段提供有关此特定登录请求的详细信息。
- 中转服务指示哪些中间服务参与了此登录请求。
- 包名称表示在 NTLM 协议中使用了哪个子协议。
- 密钥长度表示生成的会话密钥的长度。如果未请求会话密钥,则该值为 0。
一个用户名已从我们公司分离并从 AD 中删除。他正在尝试访问文件服务器。它收到此错误并正在重试。每周有超过 10000 条日志。每次都从随机端口尝试。我在网上找不到任何解决方案。
我怎样才能解决这个问题?
答案1
事件的错误信息指出:“未知的用户名或错误的密码”,确认用户不存在或用户使用错误的密码登录(这有点笼统,应该在同一时间记录其他事件以确认用户确实已被删除)。
此事件只是表明远程用户正在尝试通过网络连接来连接服务器。连接来自随机远程端口是意料之中的事情,这是正常行为。
我能想到您收到此消息的 3 个原因:
用户仍在网络上的某处打开会话,例如通过终端服务器或类似服务器。
存在与用户关联的服务或计划任务,尽管这通常会导致 (3) 以外的错误代码。
用户以某种方式仍然可以访问网络(VPN?)并且他的笔记本电脑上的驱动器仍然映射到您的服务器。
鉴于生成的事件数量巨大,用户不太可能有恶意。
您是否有一个 IP 地址,至少可以让您知道登录来自哪里?这也应该可以澄清一些事情。