none
Windows server 2008 R2 standard 服务器的自身报登陆审核失败,事件id:4625 RRS feed

  • 常规讨论

  • 刚安装好的系统

    一直用远程登陆,但是今天总司远程登陆不上,弹出内部错误。后来查看服务器日志,发现有大量的服务器自身的登陆,状态都是审核失败,应该不是外部搞的鬼吧,毕竟ip时127.0.0.1,是服务器自身,我就问一下,是服务器系统有缺陷,需要打补丁,还是被植入某些病毒软件,这里我提一句,我就安装了一个windows defender。是通过添加功能安装。

    具体信息如下,这个具体该怎么解决,网上搜出来都是杂七杂八的,想求专业人士解答

    事件ID:4625      任务类别:登陆

    级别:信息            关键字:审核失败

    帐户登录失败。

    主题:
    安全 ID: SYSTEM
    帐户名: WINDOWS-TT0OKA2$
    帐户域: WORKGROUP
    登录 ID: 0x3e7

    登录类型: 2

    登录失败的帐户:
    安全 ID: NULL SID
    帐户名: Administrator
    帐户域: WINDOWS-TT0OKA2

    失败信息:
    失败原因: 未知用户名或密码错误。
    状态: 0xc000006d
    子状态: 0xc000006a

    进程信息:
    调用方进程 ID: 0x230
    调用方进程名: C:\Windows\System32\winlogon.exe

    网络信息:
    工作站名: WINDOWS-TT0OKA2
    源网络地址: 127.0.0.1
    源端口: 0

    详细身份验证信息:
    登录进程: User32 
    身份验证数据包: Negotiate
    传递服务: -
    数据包名(仅限 NTLM): -
    密钥长度: 0

    登录请求失败时在尝试访问的计算机上生成此事件。

    “主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

    “登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

    “进程信息”字段表明系统上的哪个帐户和进程请求了登录。

    “网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

    “身份验证信息”字段提供关于此特定登录请求的详细信息。
    -“传递服务”指明哪些直接服务参与了此登录请求。
    -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
    -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。

    2019年8月8日 9:08