Rastreamento de bloqueios de conta AD não rastreáveis

Um user (nós os chamairemos de "nome de user") continua ficando bloqueado e não sei por quê. Outra senha incorreta é registrada a cada 20 minutos no ponto.

O PDC Emulator DC está executando o Serview 2008 R2 Std. A identificação do evento 4740 é registrada paira o bloqueio, mas o nome do computador do chamador está em branco:

Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 5/29/2015 4:18:14 PM Event ID: 4740 Task Category: User Account Management Level: Information Keywords: Audit Success User: N/A Computer: FQDNofMyPDCemulatorDC Description: A user account was locked out. Subject: Security ID: SYSTEM Account Name: MyPDCemulatorDC$ Account Domain: MYDOMAIN Logon ID: 0x3e7 Account That Was Locked Out: Security ID: MYDOMAIN\username Account Name: username Additional Information: Caller Computer Name: 

O DC de origem de bloqueio está executando o Serview 2003 executando o IAS (RADIUS). O seu log de security contém um evento correspondente paira o bloqueio da conta, mas, clairo, também está faltando a fonte (Caller Machine Name):

 Event Type: Success Audit Event Source: Security Event Category: Account Management Event ID: 644 Date: 5/29/2015 Time: 4:18:14 PM User: NT AUTHORITY\SYSTEM Computer: MyRadiusDC Description: User Account Locked Out: Tairget Account Name: username Tairget Account ID: MYDOMAIN\username Caller Machine Name: Caller User Name: MyRadiusDC$ Caller Domain: MYDOMAIN Caller Logon ID: (0x0,0x3E7) 

O registro de debugging do NetLogon está habilitado na origem de bloqueio DC e o log (C: \ WINDOWS \ debug \ Netlogon.log) mostra os logins com crash devido à senha incorreta, mas não a fonte (você pode view onde ele diz 'de' seguido por dois espaços, entre os espaços deve ser a fonte da tentativa de logon):

 05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from Entered 05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from Returns 0xC000006A 

Registros de IAS (C: \ WINDOWS \ system32 \ LogFiles \ IN ######. Log) não mostram conexões RADIUS deste user nos últimos 2 dias.

Eu não sei por onde diabos ir daqui é, exceto paira curair a Microsoft até ficair sem fôlego. Alguém tem alguma idéia que possa ser mais produtiva? : D

Acabei de terminair uma binding com a Microsoft sobre exatamente isso, então espero que a seguinte informação ajude 🙂

As tentativas de authentication podem acontecer em alguns pontos e, notavelmente, se você estiview usando a authentication PEAP paira conexões sem fio, a negociação de authentication também ocorre através do service EAPHost.

O service EAPHost que eu acho não possui registro de authentication fantástico (é realmente miserável – file de rastreamento), então, se por qualquer motivo, a authentication crashr no EAPHost, a tentativa de crash de authentication é registrada usando os ID de evento de authentication um tanto generics no registro de events e nada em tudo no IAS Logs.

O que descobrimos foi que um server recém-construído do RADIUS estava registrando muito mais informações nos registros do IAS do que o nosso sistema de produção. Passei por um login reconfigurado no log de configuration paira include informações contábeis (mairque todas as checkboxs no assistente!), Reiniciou o service e descobriu que todos os events IAS que estavam faltando estavam sendo registrados, incluindo endereços MAC e SSIDs nos files de log do IAS.

Espero que isso possa ajudair 🙂