我们有一个域帐户,通过2台服务器之一被锁定.内置审计只告诉我们很多(从SERVER1,SERVER2锁定).
该帐户在5分钟内被锁定,似乎每分钟约1个请求.
我最初尝试运行procmon(来自sysinternals),看看在解锁帐户后是否有任何新的PROCESS START被生成.没有任何可疑的事情出现.在我的工作站上运行procmon并升级到UAC shell(conscent.exe)之后,当您尝试对AD进行身份验证(不确定)时,似乎从堆栈中调用了ntdll.dll和rpct4.dll.
无论如何要缩小哪个进程导致对DC的身份验证请求?它总是相同的DC,所以我们知道它必须是该站点中的服务器.我可以尝试在wireshark中查找调用,但我不确定这会缩小哪个进程实际触发它.
没有服务,驱动器映射或计划任务正在使用该域帐户 – 因此它必须是存储域信誉的东西.在任何服务器(我们已检查)上都没有与该域帐户的开放RDP会话.
进一步说明
是,“成功/失败”登录审核在相关DC上启用 – 在实际锁定帐户之前不会记录任何故障事件.
进一步挖掘表明,一旦帐户解锁,LSASS.exe就会向DC提出KERBEROS呼叫.它(通常)在java之前,似乎由vpxd.exe调用,这是一个vCenter进程.但是,当我看到另一个“server2”时,帐户锁定可以(也)发生,我从未看到对lsass.exe的调用,只有apache进程正在生成.两者唯一的关系是SERVER2是SERVER1的vSphere集群(server1是vSphere OS)的一部分.
DC出错
所以,AD似乎告诉我的是,这是一个pre-auth Kerberos错误.我检查过并且没有klist的门票,并且为了以防万一而做了冲洗.仍然不知道是什么导致了这个kerberos错误.
Index : 202500597 EntryType : FailureAudit InstanceId : 4771 Message : Kerberos pre-authentication Failed. Account Information: Security ID: S-1-5-21-3381590919-2827822839-3002869273-5848 Account Name: USER Service Information: Service Name: krbtgt/DOMAIN Network Information: Client Address: ::ffff:x.x.x.x Client Port: 61450 Additional Information: Ticket Options: 0x40810010 Failure Code: 0x18 Pre-Authentication Type: 2 Certificate Information: Certificate Issuer Name: Certificate Serial Number: Certificate Thumbprint: Certificate information is only provided if a certificate was used for pre-authentication. Pre-authentication types,ticket options and failure codes are defined in RFC 4120. If the ticket was malformed or damaged during transit and could not be decrypted,then many fields in this event might not be present.