环境:域控2008 r2 sp1 客户端 xp sp3 客户端 300台 ,已部署企业安全卫士,打了补丁,组策略中,域控和客户端已经取消安全审核
情况:dns不指向域控 无审核失败日志,指向域控 每秒有200条审核失败
百度到的微软解释:http://support.microsoft.com/kb/2549079/zh-cn,替代方法中我试过把计划任务服务停止,计划任务清空,历史记录不知道在哪里查看
求助:使用netstat -anb查看应用程序和端口,也看不出猫腻,各位牛人帮我解决下,谢谢了
症状
日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2012/12/29 10:57:18
事件 ID: 4625
任务类别: 登录
级别: 信息
关键字: 审核失败
用户: 暂缺
计算机: DC2.rml.com
描述:
帐户登录失败。
主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
登录类型: 3
登录失败的帐户:
安全 ID: NULL SID
帐户名: li.yuanyuan
帐户域: RML
失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xc000006d
子状态: 0xc000006a
进程信息:
调用方进程 ID: 0x0
调用方进程名: -
网络信息:
工作站名: YF-LIGX
源网络地址: 10.0.0.142
源端口: 3670
详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0