none
安全日志问题咨询 RRS feed

  • 问题

  • 环境 server 2016+exchange2016 多台Exchange服务器

    在Exchange02上的安全日志,显示用户登录信息的源地址为exchange01。但理论上用户不会在服务器上进行登录,并且工作站名称也不太对显示的为客户端名称,想知道在什么情况下会出现这种情况?


    • 已编辑 ice9898 2021年2月20日 10:18
    2021年2月20日 10:17

答案

  • 您好,

    >>但理论上用户不会在服务器上进行登录

    通过您的截图我们可以看到登陆类型为3。

    根据这篇官方文档:4625 (F) :帐户登录失败,3代表用户或计算机从网络登陆到此计算机。

    因此用户应该没有直接在服务器上进行登陆。


    关于网络信息部分的疑问,请问此用户邮箱是位于Exchange02上的数据库的吗?

    您在环境中是否有配置过负载均衡?或是有组成DAG?


    由于多台Exchange共存环境中,对于客户端的请求,CAS服务器之间会进行Proxy。

    因此此请求可能是最初由客户端DESKTOP发起,经由Exchange01服务器proxy到Exchange02服务器。

    所以Exchange02上显示的源网络地址为Exchange01的IP地址。

    关于这方面的更多信息,这里有一篇官方博客可以供您参考:Exchange 2013 Client Access Server Role


    此外,根据4625 (F) :帐户登录失败,源端口为0代表的应该是交互式登陆。

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已建议为答案 Kael Yao 2021年2月24日 1:03
    • 已标记为答案 ice9898 2021年2月25日 3:12
    2021年2月22日 9:07
  • 您好, 

    1. 请问是否有办法将源IP地址记录到安全日志中?

    由于这方面涉及到Windows server安全日志的相关设计,根据我的了解,您可能需要通过其他方法来进行查看。

    更多信息您可以参考这个帖子中的讨论:Logging IP adderess during remote desktop connection

    2. 经测试,部分登录失败的信息未记录在 安全日志中?请问是正常现象吗

    请问您在DC服务器上的安全日志中能看到这些登陆信息吗?

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已编辑 Kael Yao 2021年3月2日 1:31 补充
    • 已标记为答案 ice9898 2021年3月8日 3:02
    2021年3月1日 9:48

全部回复

  • 您好,

    >>但理论上用户不会在服务器上进行登录

    通过您的截图我们可以看到登陆类型为3。

    根据这篇官方文档:4625 (F) :帐户登录失败,3代表用户或计算机从网络登陆到此计算机。

    因此用户应该没有直接在服务器上进行登陆。


    关于网络信息部分的疑问,请问此用户邮箱是位于Exchange02上的数据库的吗?

    您在环境中是否有配置过负载均衡?或是有组成DAG?


    由于多台Exchange共存环境中,对于客户端的请求,CAS服务器之间会进行Proxy。

    因此此请求可能是最初由客户端DESKTOP发起,经由Exchange01服务器proxy到Exchange02服务器。

    所以Exchange02上显示的源网络地址为Exchange01的IP地址。

    关于这方面的更多信息,这里有一篇官方博客可以供您参考:Exchange 2013 Client Access Server Role


    此外,根据4625 (F) :帐户登录失败,源端口为0代表的应该是交互式登陆。

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已建议为答案 Kael Yao 2021年2月24日 1:03
    • 已标记为答案 ice9898 2021年2月25日 3:12
    2021年2月22日 9:07
  • 您好,我的理解 即便是代理也会在Exchange01上进行认证请求。通过后与Exchange02  444端口连接数据库。并不会在Exchange上进行认证
    2021年2月25日 3:15
  • 您好,

    请问这两台Exchange服务器是否位于不同的AD站点?

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年2月25日 9:27
  • 所有Exchange都在同一个站点内
    2021年2月26日 18:32
  • 通过测试可知 在用户使用SMTP登录时,如果密码输入错误,我们发现在系统安全日志中会出现审核失败的日志,但日志中未记录登录用户的源IP地址,但在C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive   日志中确有相关记录 

    2021-03-01T06:58:01.628Z,JTJNMAILAR08\30-port,08D8DA6B412291F0,11,10.XX.X.XX:30,10.XX.1.XX:62712,*,,User Name: outlook01

    1. 请问是否有办法将源IP地址记录到安全日志中?

    2. 经测试,部分登录失败的信息未记录在 安全日志中?请问是正常现象吗


    • 已编辑 ice9898 2021年3月1日 8:21
    2021年3月1日 7:07
  • 您好, 

    1. 请问是否有办法将源IP地址记录到安全日志中?

    由于这方面涉及到Windows server安全日志的相关设计,根据我的了解,您可能需要通过其他方法来进行查看。

    更多信息您可以参考这个帖子中的讨论:Logging IP adderess during remote desktop connection

    2. 经测试,部分登录失败的信息未记录在 安全日志中?请问是正常现象吗

    请问您在DC服务器上的安全日志中能看到这些登陆信息吗?

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已编辑 Kael Yao 2021年3月2日 1:31 补充
    • 已标记为答案 ice9898 2021年3月8日 3:02
    2021年3月1日 9:48
  • 你好,目前来看,使用SMTP登录时,exchange 服务端的安全日志不会记录用户登录时的源IP地址,请问如何解决?

    高级审核已经开启,DC上可以看到,但显示的是Exchange服务器的登录信息

    2021年3月3日 7:04
  • 您好,

    关于SMTP连接方面的问题,您可以通过在对应的接收连接器上启用Protocol logging来查看SMTP连接的源IP地址。

    关于安全日志方面的问题,由于涉及到Exchange Server和Windows Server的设计问题,据我了解,在特定情况下也会出现工作站名及源网络地址显示为空白,没有记录的问题。

    由于没有找到具体的官方文档对此有详细的解释,建议您通过其他日志(如上方提到的协议日志,IIS日志等)来分析。

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年3月3日 9:47