none
如何在域控上查看第3方产品ldap认证的详细日志? RRS feed

  • 问题

  • 如何在域控上查看第3方产品ldap认证的详细日志?

     很多第三方产品都支持和域控对接,使用域用户的身份验证,但是问题是在域控上看不到这些验证信息。比如有一个用户在第三方集成产品上尝试的密码次数超了,导致用户锁定,AD上只能看到认证日志4648和锁定日志4740。

    认证日志4648上只有认证时只有管理员的认证信息,没有用户的认证信息,请问有没有办法,在AD上看到第3方产品的用户认证信息?

    如图,第4步,第6步的信息,域控上应该如何查看?

    2021年3月15日 0:22

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据您的描述,请问你提到的第三方产品或者设备是加了域的,对吗?

    如果是的话,请尝试在域控上开启审核日志:

    组策略对象: Default Domain Controller Policy

    传统审核策略:
    Computer Configuration\Windows settings\security settings\local policies\audit policy
    Audit Account Logon Events – Failure
    Audit Account Management - Success and Failure

    或者使用高级审核策略 (默认情况下,任意一条高级审核策略一旦设置以后,所有传统的审核策略全部失效。):
    Computer Configuration\Windows settings\security settings\Advanced Audit Policy Configuration

    Account Logon:
    Audit Kerberos Authentication Service - Failure
    Audit Credential Validation – Failure

    Account Management:
    Audit User Account Management – Success and Failure

    所以如果您之前从来没有配置过高级审核策略,那您就配置传统审核策略。如果您之前已经配置过任何一条高级审核策略,那您就配置高级审核策略。如果上面的审核策略之前已经配置过了,那就不用再次配置了。

    通常域账号验证失败的话,您会在域控上看到4771(Kerberos验证)或者4776(NTLM验证)。

    如果尝试的错误密码是5次,账号会锁定的话,如果出现账号锁定,您会在域控上看到4771(Kerberos验证)和4740(4740之前会出现5次4771)或者您会在域控上看到4776(NTLM验证)和4740(4740之前会出现5次4776)。


    如有任何问题,欢迎您随时咨询我们。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年3月15日 3:10
    版主
  • 谢谢 Daisy Zhou

    我这里的审计策略,是开着的。

    1,对接系统1,能看到4776,但是显示的源工作站是域控,不能和外部系统关联起来。发现更详细的日志是4624,是否还有更合适的方案?

    2,对接系统2,能看到4776,能看到源工作站是对接系统的名字。

    4776

    计算机试图验证帐户的凭据。 验证包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 登录帐户: abc 源工作站: Test-DC03 错误代码: 0x0


    4624
    
    已成功登录帐户。
    
    主题:
    	安全 ID:		S-1-5-18
    		帐户名:		Test-DC03$
    	帐户域:		test
    	登录 ID:		0x3e7
    
    登录类型:			3
    
    新登录:
    	安全 ID:		S-1-5-21-682003330-261478967-839522115-4642
    	帐户名:		abc
    	帐户域:		test
    	登录 ID:		0x6e735490
    	登录 GUID:		{00000000-0000-0000-0000-000000000000}
    
    进程信息:
    	进程 ID:		0x304
    	进程名:		C:\Windows\System32\lsass.exe
    
    网络信息:
    	工作站名:	Test-DC03
    	源网络地址:	172.X.X.X
    	源端口:		50731
    
    详细身份验证信息:
    	登录进程:		Advapi  
    	身份验证数据包:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    	传递服务:	-
    	数据包名(仅限 NTLM):	-
    	密钥长度:		0
    
    在创建登录会话后在被访问的计算机上生成此事件。
    
    “主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
    
    “登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。
    
    “新登录”字段会指明新登录是为哪个帐户创建的,即登录的帐户。
    
    “网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。
    
    “身份验证信息”字段提供关于此特定登录请求的详细信息。
    	-“登录 GUID”是可以用于将此事件与一个 KDC 事件关联起来的唯一标识符。
    	-“传递服务”指明哪些直接服务参与了此登录请求。
    	- “数据包名”指明在 NTLM 协议之间使用了哪些子协议。
    	-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥则此字段为 0。


    2021年3月15日 5:55
  • 尊敬的客户,您好!

    感谢您的回复。

    1,对接系统1,能看到4776,但是显示的源工作站是域控,不能和外部系统关联起来。发现更详细的日志是4624,是否还有更合适的方案?
    请问您说的4776是在域控上看到的还是在对接系统1上看到的?
    请问4624也是在域控上看到的吗?

    2,对接系统2,能看到4776,能看到源工作站是对接系统的名字。
    请问您说的4776是在域控上看到的还是在对接系统2上看到的?



    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年3月16日 8:27
    版主
  • 谢谢Daisy Zhou的回复



    1,对接系统1,能看到4776,但是显示的源工作站是域控,不能和外部系统关联起来。发现更详细的日志是4624,是否还有更合适的方案?

    答:4776是在域控上看到的
    答:4624也是在域控上看到的
    补充:上一个回复里的日志就是真实日志,已经隐去敏感信息;对接系统1是linux内核的服务器。


    2,对接系统2,能看到4776,能看到源工作站是对接系统的名字。
    答:4776是在域控上看到的
    补充:对接系统2也是linux内核的服务器。


    2021年3月16日 8:42
  • 尊敬的客户,您好!
    感谢您的回复。
    ldap认证的过程,对于DC来说就是ldap查询的过程,这个日志默认不会在DC上记录的。
    您这样的情况,建议去您的第3方产品或者应用上检查相应的日志,而不应该看DC上的日志。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年3月29日 7:05
    版主
  • 尊敬的客户,您好!

    希望我之前的回复对您有帮助。

    请问您对这个帖子还有任何疑问吗?如有任何疑问,欢迎您随时咨询我们。

    感谢您的理解和支持。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年3月31日 3:09
    版主
  • 明白了,谢谢!
    2021年3月31日 10:56