Kami memiliki akun domain yang dikunci melalui 1 dari 2 server. Audit internal hanya memberi tahu kita sebanyak itu (dikunci dari SERVER1, SERVER2).
Akun itu akan terkunci dalam 5 menit, sepertinya 1 permintaan per menit.
Saya awalnya mencoba menjalankan procmon (dari sysinternals) untuk melihat apakah ada PROSES MULAI yang baru saja muncul setelah saya membuka kunci akun. Tidak ada yang mencurigakan muncul. Setelah menjalankan procmon di workstation saya dan naik ke shell UAC (conscent.exe) sepertinya dari stack itu ntdll.dll
dan rpct4.dll
dipanggil ketika Anda mencoba untuk auth terhadap AD (tidak yakin).
Apakah ada cara untuk mempersempit proses yang menyebabkan permintaan otentikasi ke DC kami? Itu selalu DC yang sama jadi kami tahu itu pasti server di situs itu. Saya bisa mencoba mencari panggilan di wireshark, tapi saya tidak yakin itu akan mempersempit proses yang sebenarnya memicu itu.
Tidak ada layanan, pemetaan drive, atau tugas terjadwal yang menggunakan akun domain itu juga - jadi pasti ada sesuatu yang menyimpan kredibilitas domain. Tidak ada sesi RDP terbuka dengan akun domain itu di server mana pun (kami memeriksa).
Catatan selanjutnya
Ya, "Keberhasilan / Kegagalan" Audit Masuk diaktifkan pada DC yang bersangkutan - tidak ada peristiwa kegagalan dicatat hingga akun tersebut benar-benar dikunci.
Menggali lebih lanjut menunjukkan bahwa LSASS.exe
membuat KERBEROS
panggilan ke DC dalam pertanyaan setelah akun dibuka. Itu didahului (umumnya) oleh java yang tampaknya dipanggil oleh vpxd.exe
yang merupakan proses vCenter. TETAPI, ketika saya melihat "server2" lainnya di mana penguncian akun dapat (juga) terjadi, saya tidak pernah melihat panggilan ke lsass.exe
dan hanya proses apache yang muncul. Satu-satunya hubungan keduanya adalah bahwa SERVER2 adalah bagian dari cluster vSphere SERVER1 (server1 menjadi OS vSphere).
Kesalahan pada DC
Jadi, sepertinya semua yang akan saya sampaikan kepada AD adalah bahwa itu adalah kesalahan Kerberos pra-auth. Saya memeriksa dan tidak ada tiket dengan klist
dan melakukan flush untuk berjaga-jaga. Masih belum tahu apa yang menyebabkan kesalahan kerberos ini.
Index : 202500597
EntryType : FailureAudit
InstanceId : 4771
Message : Kerberos pre-authentication failed.
Account Information:
Security ID: S-1-5-21-3381590919-2827822839-3002869273-5848
Account Name: USER
Service Information:
Service Name: krbtgt/DOMAIN
Network Information:
Client Address: ::ffff:x.x.x.x
Client Port: 61450
Additional Information:
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Certificate information is only provided if a certificate was used for pre-authentication.
Pre-authentication types, ticket options and failure codes are defined in RFC 4120.
If the ticket was malformed or damaged during transit and could not be decrypted, then many fields
in this event might not be present.