登录
Microsoft.com
 
Microsoft
 
 
 

none
win2008 r2 成千上万的“审核失败”日志 事件ID 4625 RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票

    环境:域控2008 r2 sp1 客户端 xp sp3 客户端 300台 ,已部署企业安全卫士,打了补丁,组策略中,域控和客户端已经取消安全审核

    情况:dns不指向域控 无审核失败日志,指向域控 每秒有200条审核失败

    百度到的微软解释:http://support.microsoft.com/kb/2549079/zh-cn,替代方法中我试过把计划任务服务停止,计划任务清空,历史记录不知道在哪里查看

    求助:使用netstat -anb查看应用程序和端口,也看不出猫腻,各位牛人帮我解决下,谢谢了

    症状

    日志名称:          Security
    来源:            Microsoft-Windows-Security-Auditing
    日期:            2012/12/29 10:57:18
    事件 ID:         4625
    任务类别:          登录
    级别:            信息
    关键字:           审核失败
    用户:            暂缺
    计算机:           DC2.rml.com
    描述:
    帐户登录失败。

    主题:
     安全 ID:  NULL SID
     帐户名:  -
     帐户域:  -
     登录 ID:  0x0

    登录类型:   3

    登录失败的帐户:
     安全 ID:  NULL SID
     帐户名:  li.yuanyuan
     帐户域:  RML

    失败信息:
     失败原因:  未知用户名或密码错误。
     状态:   0xc000006d
     子状态:  0xc000006a

    进程信息:
     调用方进程 ID: 0x0
     调用方进程名: -

    网络信息:
     工作站名: YF-LIGX
     源网络地址: 10.0.0.142
     源端口:  3670

    详细身份验证信息:
     登录进程:  NtLmSsp
     身份验证数据包: NTLM
     传递服务: -
     数据包名(仅限 NTLM): -
     密钥长度:  0

    2012年12月29日 2:49
    |

答案

  • Question
    登录进行投票
    0
    登录进行投票

    您好!    

    根据您提供的报错信息,我们建议您先根据以下文章中的步骤排错:

    The Security event that has Event ID 4625 does not contain the user account name on a computer that is running Windows Vista, Windows Server 2008, Windows 7, or Windows Server 2008 R2

    http://support.microsoft.com/kb/2157973

    希望我的回答对您有所帮助,如果有什么不清楚的地方,请您回帖。

    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2012年12月31日 8:23
    |
    版主

全部回复