即使用户通过 VPN 连接并在域控制器上创建 4776、4648、4624 和 4634 事件 ID,在活动目录用户属性中 lastlogon 和 lastlogontimestamp 仍为空或未设置。此用户实际上没有登录,因为它无法通过 VPN 身份验证器中的双因素身份验证,但我只是不明白为什么这些成功的登录事件会记录在域控制器中。哪个事件 ID 更新了这些值?谢谢。
答案1
这些值不会通过 VPN 访问进行更新。它们通过本地登录到域计算机进行更新。
lastlogon 特定于 DC,并且不通过 AD 复制。lastlogontimestamp 已被复制,但仅当超过 14 天时才会更新(旨在查找过时的 AD 帐户)。
您可以使用日志文件解析器来解释所有域控制器上的日志。