Remove From My Forums

安全日志问题咨询

问题
0

登录进行投票
环境 server 2016+exchange2016 多台Exchange服务器

在Exchange02上的安全日志，显示用户登录信息的源地址为exchange01。但理论上用户不会在服务器上进行登录，并且工作站名称也不太对显示的为客户端名称，想知道在什么情况下会出现这种情况？
- 已编辑 ice9898 2021年2月20日 10:18
2021年2月20日 10:17

回复

|

引用

答案

0

登录进行投票
您好，

>>但理论上用户不会在服务器上进行登录

通过您的截图我们可以看到登陆类型为3。

根据这篇官方文档：4625 (F) ：帐户登录失败，3代表用户或计算机从网络登陆到此计算机。

因此用户应该没有直接在服务器上进行登陆。

关于网络信息部分的疑问，请问此用户邮箱是位于Exchange02上的数据库的吗？

您在环境中是否有配置过负载均衡？或是有组成DAG？

由于多台Exchange共存环境中，对于客户端的请求，CAS服务器之间会进行Proxy。

因此此请求可能是最初由客户端DESKTOP发起，经由Exchange01服务器proxy到Exchange02服务器。

所以Exchange02上显示的源网络地址为Exchange01的IP地址。

关于这方面的更多信息，这里有一篇官方博客可以供您参考：Exchange 2013 Client Access Server Role

此外，根据4625 (F) ：帐户登录失败，源端口为0代表的应该是交互式登陆。

此致,

Kael Yao

如果以上回复对您有所帮助，建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们:tnsf@microsoft.com.
- 已建议为答案 Kael Yao 2021年2月24日 1:03
- 已标记为答案 ice9898 2021年2月25日 3:12
2021年2月22日 9:07

回复

|

引用
0

登录进行投票
您好，

1. 请问是否有办法将源IP地址记录到安全日志中？

由于这方面涉及到Windows server安全日志的相关设计，根据我的了解，您可能需要通过其他方法来进行查看。

更多信息您可以参考这个帖子中的讨论：Logging IP adderess during remote desktop connection

2. 经测试，部分登录失败的信息未记录在安全日志中？请问是正常现象吗

请问您在DC服务器上的安全日志中能看到这些登陆信息吗？

此致,

Kael Yao

如果以上回复对您有所帮助，建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们:tnsf@microsoft.com.
- 已编辑 Kael Yao 2021年3月2日 1:31 补充
- 已标记为答案 ice9898 2021年3月8日 3:02
2021年3月1日 9:48

回复

|

引用

全部回复

0

登录进行投票
您好，

>>但理论上用户不会在服务器上进行登录

通过您的截图我们可以看到登陆类型为3。

根据这篇官方文档：4625 (F) ：帐户登录失败，3代表用户或计算机从网络登陆到此计算机。

因此用户应该没有直接在服务器上进行登陆。

关于网络信息部分的疑问，请问此用户邮箱是位于Exchange02上的数据库的吗？

您在环境中是否有配置过负载均衡？或是有组成DAG？

由于多台Exchange共存环境中，对于客户端的请求，CAS服务器之间会进行Proxy。

因此此请求可能是最初由客户端DESKTOP发起，经由Exchange01服务器proxy到Exchange02服务器。

所以Exchange02上显示的源网络地址为Exchange01的IP地址。

关于这方面的更多信息，这里有一篇官方博客可以供您参考：Exchange 2013 Client Access Server Role

此外，根据4625 (F) ：帐户登录失败，源端口为0代表的应该是交互式登陆。

此致,

Kael Yao

如果以上回复对您有所帮助，建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们:tnsf@microsoft.com.
- 已建议为答案 Kael Yao 2021年2月24日 1:03
- 已标记为答案 ice9898 2021年2月25日 3:12
2021年2月22日 9:07

回复

|

引用
0

登录进行投票

您好，我的理解即便是代理也会在Exchange01上进行认证请求。通过后与Exchange02 444端口连接数据库。并不会在Exchange上进行认证

2021年2月25日 3:15

回复

|

引用
0

登录进行投票

您好，

请问这两台Exchange服务器是否位于不同的AD站点？

此致,

Kael Yao

如果以上回复对您有所帮助，建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们:tnsf@microsoft.com.

2021年2月25日 9:27

回复

|

引用
0

登录进行投票

所有Exchange都在同一个站点内

2021年2月26日 18:32

回复

|

引用
0

登录进行投票
通过测试可知在用户使用SMTP登录时，如果密码输入错误，我们发现在系统安全日志中会出现审核失败的日志，但日志中未记录登录用户的源IP地址，但在C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive 日志中确有相关记录
2021-03-01T06:58:01.628Z,JTJNMAILAR08\30-port,08D8DA6B412291F0,11,10.XX.X.XX:30,10.XX.1.XX:62712,*,,User Name: outlook01

1. 请问是否有办法将源IP地址记录到安全日志中？

2. 经测试，部分登录失败的信息未记录在安全日志中？请问是正常现象吗
- 已编辑 ice9898 2021年3月1日 8:21
2021年3月1日 7:07

回复

|

引用
0

登录进行投票
您好，

1. 请问是否有办法将源IP地址记录到安全日志中？

由于这方面涉及到Windows server安全日志的相关设计，根据我的了解，您可能需要通过其他方法来进行查看。

更多信息您可以参考这个帖子中的讨论：Logging IP adderess during remote desktop connection

2. 经测试，部分登录失败的信息未记录在安全日志中？请问是正常现象吗

请问您在DC服务器上的安全日志中能看到这些登陆信息吗？

此致,

Kael Yao

如果以上回复对您有所帮助，建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们:tnsf@microsoft.com.
- 已编辑 Kael Yao 2021年3月2日 1:31 补充
- 已标记为答案 ice9898 2021年3月8日 3:02
2021年3月1日 9:48

回复

|

引用
0

登录进行投票

你好，目前来看，使用SMTP登录时，exchange 服务端的安全日志不会记录用户登录时的源IP地址，请问如何解决？

高级审核已经开启,DC上可以看到，但显示的是Exchange服务器的登录信息

2021年3月3日 7:04

回复

|

引用
0

登录进行投票

您好，

关于SMTP连接方面的问题，您可以通过在对应的接收连接器上启用Protocol logging来查看SMTP连接的源IP地址。

关于安全日志方面的问题，由于涉及到Exchange Server和Windows Server的设计问题，据我了解，在特定情况下也会出现工作站名及源网络地址显示为空白，没有记录的问题。

由于没有找到具体的官方文档对此有详细的解释，建议您通过其他日志（如上方提到的协议日志，IIS日志等）来分析。

此致,

Kael Yao

如果以上回复对您有所帮助，建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们:tnsf@microsoft.com.

2021年3月3日 9:47

回复

|

引用

积极答复者

安全日志问题咨询

问题

答案

全部回复