我在域控制器(Windows Server 2012)上看到很多 ID 4624 事件(登录类型 3),我想知道这些事件想要告诉我什么。
我读到过,域控制器上的 4624 类型 3 事件表明 AD 域上有网络登录,但我不明白源网络地址是什么意思。它是登录来自哪里,还是用户想要登录的目标?
答案1
源网络地址将是请求源自的地址,但可能是本地主机或不包含源信息的方式。
您可能已经遇到过它,但以下内容包含大量细节以及一些有用的审计方法:
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624
希望有帮助
答案2
验证 PTR 记录并将站点绑定到子网
如果您想在日志事件中看到网络地址,可以做两件事来补救。
1.在 DNS 服务器中,验证您是否有反向查找区域。如果没有,请使用主机子网的网络地址创建一个。
2.打开 Active Directory 站点和服务。深入研究“站点 > 子网”。验证是否已使用子网的网络地址 CIDR 创建子网,以及子网是否已绑定到该子网(您的 DC 所在的站点)中存在的站点。
3.在 DC 上,打开管理员 cmd 提示符并输入“ipconfig /registerdns”
您现在应该会看到 DC 的 PTR 记录是新的 DNS 反向查找区域。如果您有包含主机的其他子网,请为这些主机创建反向查找区域。
“ID 4624 事件(登录类型 3)”信息事件现在应显示子网。类型 3 事件是当客户端访问 netlogon 和/或 sysvol 共享以获取登录脚本或组策略枚举和应用时发生的。