Olay 4625 Denetim Hatası NULL SID başarısız ağ oturum açmaları

3 ayrı sistemde, aşağıdaki olay, etki alanı denetleyicisi sunucusunda birçok kez (sisteme bağlı olarak günde 30 ila 4.000 kez) günlüğe kaydedilir:

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Bu olay araştırma sırasında bulduğum diğerlerinden biraz farklı ama aşağıdakileri belirledim:

1. Event ID: 4625. "Bir hesap oturum açamadı" .
2. Logon Type: 3. Msgstr "Ağ (ör. Ağ üzerindeki başka bir yerden bu bilgisayardaki paylaşılan klasöre bağlantı)" .
3. Security ID: NULL SID. "Geçerli bir hesap tanımlanmadı" .
4. Sub Status: 0xC0000064. Msgstr "Kullanıcı adı mevcut değil" .
5. Caller Process Name: C:\Windows\System32\lsass.exe. Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS), Microsoft Windows işletim sistemlerinde, sistemde güvenlik ilkesinin uygulanmasından sorumlu olan bir işlemdir. Bir Windows bilgisayarında veya sunucusunda oturum açan kullanıcıları doğrular, parola değişikliklerini işler ve erişim belirteçleri oluşturur. Ayrıca Windows Güvenlik Günlüğüne yazar.
6. Workstation Name: SERVERNAME. Kimlik doğrulama isteği, etki alanı denetleyicisinin kendisi tarafından veya onun aracılığıyla gönderiliyor.

Etkilenen sistemlerin benzerlikleri:

1. Sunucu İşletim Sistemi: Windows Small Business Server 2011 veya Windows Server 2012 R2 Essentials
2. Masaüstü İşletim Sistemi: Windows 7 Professional (genellikle)

Etkilenen sistemlerin farklılıkları:

1. antivirüs
2. Active Directory ile tümleşik Internet filtreleme
3. Masaüstü önbelleğe alınmış oturumlar
4. Roller (Değişim, yedekleme vb.)

En ciddi şekilde etkilenen sistemde fark ettiğim bazı ilginç şeyler:

1. Kısa süre önce Windows Server 2012 R2 Essentials'ın Office 365 entegrasyonu aracılığıyla Active Directory ve Office 365 kullanıcı hesabı şifrelerini senkronize etmeye başladık. Entegrasyon için Office 365 yöneticisinin parolası ve güvenlik ilkesinin artırılması gerekir. Senkronizasyon, her bir kullanıcı hesabının, bir sonraki oturum açışında hesabın parolasının değiştirilmesini gerektiren ilgili Microsoft çevrimiçi hesabına atanmasını gerektirir. Ayrıca birincil e-posta alan adlarını Active Directory Etki Alanları ve Güvenleri'ne UPN soneki olarak ekledik ve tüm kullanıcı hesaplarının UPN'lerini e-posta alanlarına değiştirdik. Bu, etkili bir şekilde e-posta adreslerini ve şifrelerini kullanarak etki alanında ve Office 365'te oturum açmalarına izin verdi. Bununla birlikte, bunu yaptığından beri günlük kaydedilen olay sayısı ~ 900'den ~ 3.900'e yükselmiştir. Not:
2. Etkinliklerin büyük bir kısmı, kullanıcıların işe geldiği ~ 09: 00 dışında genellikle 30 veya 60 dakikada bir düzenli aralıklarla kaydediliyor gibi görünüyor: 2015/07/02 18:55
   2015/07/02 19:25
   2015 / 07/02 19:54
   2015/07/02 20:25
   2015/07/02 20:54
   2015/07/02 21:25
   2015/07/02 22:24
   2015/07/02 23:25
   2015/07 / 03 00:25
   2015/07/03 01:24
   2015/07/03 01:55
   2015/07/03 02:24
   2015/07/03 02:55
   2015/07/03 03:55
   2015/07/03 04:55
   2015/07/03 05:54
   2015/07/03 06:25
   2015/07/03 07:25
   2015/07/03 08:24
   2015/07/03 08:27
   2015/07/03 08: 49
   2015/07/03 08:52
   2015/07/03 08:54
   2015/07/03 08:56
   2015/07/03 08:57
   2015/07/03 09:00
   2015/07/03 09:01
   2015/07/03 09:03
   2015/07/03 09:06
   2015 / 07/03 09:08
   2015/07/03 09:10
   2015/07/03 09:12
   2015/07/03 09:13
   2015/07/03 09:17
   2015/07/03 09:13 2015/07
   / 03 09:25
   2015/07/03 10:24
   2015/07/03 11:25

3. Aşağıdaki olay, terminal / uzak masaüstü hizmetleri sunucusunda birçok kez olmasa da günlüğe kaydedilir:

   An account failed to log on.
   
   Subject:
       Security ID:        NULL SID
       Account Name:       -
       Account Domain:     -
       Logon ID:       0x0
   
   Logon Type:         3
   
   Account For Which Logon Failed:
       Security ID:        NULL SID
       Account Name:       %terminalServerHostname%
       Account Domain:     %NetBIOSDomainName%
   
   Failure Information:
       Failure Reason:     Unknown user name or bad password.
       Status:         0xC000006D
       Sub Status:     0xC0000064
   
   Process Information:
       Caller Process ID:  0x0
       Caller Process Name:    -
   
   Network Information:
       Workstation Name:   %terminalServerHostname%
       Source Network Address: %terminalServerIPv6Address%
       Source Port:        %randomHighNumber%
   
   Detailed Authentication Information:
       Logon Process:      NtLmSsp 
       Authentication Package: NTLM
       Transited Services: -
       Package Name (NTLM only):   -
       Key Length:     0
   
   This event is generated when a logon request fails. It is generated on the computer where access was attempted.
   
   The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
   
   The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
   
   The Process Information fields indicate which account and process on the system requested the logon.
   
   The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
   
   The authentication information fields provide detailed information about this specific logon request.
       - Transited services indicate which intermediate services have participated in this logon request.
       - Package name indicates which sub-protocol was used among the NTLM protocols.
       - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
   

Yani, özet olarak, kesinlikle personel kullanıcı hesaplarını kullanarak masaüstü bilgisayarlardan ağ erişimi ile ilgili gibi görünüyor ama nasıl göremiyorum.

Güncelleme 2015/08/25 08:48:

En ciddi şekilde etkilenen sistemde, sorunu izole etmek için aşağıdakileri yaptım ve her değişiklikten sonra geri döndüm:

1. Terminal / uzak masaüstü hizmetleri sunucuyu kapatın ve jenerik başarısız oturum açma vermedi devam ediyor.
2. Ağ ve jenerik başarısız oturum açma etki alanı denetleyicisi sunucusu bağlantı kesildi vermedi devam ediyor.
3. Sunucuyu ağ bağlantısı olmadan Güvenli Mod'da yeniden başlattı ve genel başarısız oturum açma işlemi devam etmedi .
4. Durdu ve tüm "gereksiz" hizmetlerini (vb ajan, yedekleme, ağ filtreleme entegrasyonu, TeamViewer, antivirüs izleme) devre dışı ve jenerik başarısız oturum açma vermedi devam ediyor.
5. Durdu ve engelli Windows Server Essentials hizmetleri ( WseComputerBackupSvc, WseEmailSvc, WseHealthSvc, WseMediaSvc, WseMgmtSvc, ve WseNtfSvc) ve jenerik başarısız oturum açma vermedi devam ediyor.
6. Sonunda, Windows Server Essentials Yönetim Hizmeti ( WseMgmtSvc) durduruldu ve devre dışı bırakıldı ve genel başarısız oturum açma işlemi devam etmedi .

WseMgmtSvcBirkaç gün boyunca devre dışı bırakarak bu başarısız olan oturum açma işlemlerinden Windows Server Essentials Yönetim Hizmeti'nin ( ) sorumlu olduğunu iki kez kontrol ettim ve genel olarak başarısız oturum açma ve birkaç gün boyunca etkinleştirme ve binlerce genel başarısız oturum açma vardı .

Güncelleme 2015/10/08 09:06:

2015/10/07 saat 16: 42'de şu zamanlanmış görevi buldum:

• Adı: "Uyarı Değerlendirmeleri"
• Konum: "\ Microsoft \ Windows \ Windows Server Essentials"
• Yazar: "Microsoft Corporation"
• Açıklama: "Bu görev bilgisayarın sağlığını düzenli olarak değerlendirir."
• Hesap: "SYSTEM"
• Tetikleyiciler: "28/10/2014 tarihinde 08:54 - Tetiklendikten sonra, 30 dakikada bir süresiz olarak tekrarlayın"
• Eylemler: "Bir program başlatın: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll" /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / method: EvaluateAlertsTaskAction / task: "Uyarı Değerlendirmeleri" "

Bu zaman çerçevesi neredeyse tam olarak yukarıdaki davranışla eşleşir, bu yüzden sorunu etkileyip etkilemediğini görmek için devre dışı bıraktım.

2015/10/08 08:57 tarihinde, bu jenerik başarısız oturum açmaların sadece 47'sinin düzensiz aralıklarla kaydedildiğini gördüm.

Bu yüzden daha da daralttım.

Bu olaya genellikle eski bir gizli kimlik bilgisi neden olur. Hata veren sistemden bunu deneyin:

Bir komut isteminden çalıştır: psexec -i -s -d cmd.exe
Yeni cmd penceresinden çalıştır: rundll32 keymgr.dll,KRShowKeyMgr

Kayıtlı Kullanıcı Adları ve Parolalar listesinde görünen tüm öğeleri kaldırın. Bilgisayarı yeniden başlatın.

Görünüşe göre sorun zamanlanmış görev olan "Uyarı Değerlendirmeleri".