Nous avons un compte de domaine qui est verrouillé via 1 des 2 serveurs. L'audit intégré ne nous en dit que beaucoup (verrouillé sur SERVER1, SERVER2).
Le compte est verrouillé dans les 5 minutes, environ 1 demande par minute semble-t-il.
J'ai d'abord essayé d'exécuter procmon (à partir de sysinternals) pour voir si un nouveau DÉMARRAGE DE PROCESS était en cours de création après avoir déverrouillé le compte. Rien de suspect ne se présente. Après avoir exécuté procmon sur mon poste de travail et être passé à un shell UAC (conscent.exe), il semble que depuis la pile cela ntdll.dll
et rpct4.dll
être appelé lorsque vous essayez de vous authentifier contre AD (pas sûr).
Existe-t-il un moyen de restreindre le processus qui provoque une demande d'authentification à notre contrôleur de domaine? C'est toujours le même DC donc nous savons que ce doit être un serveur sur ce site. Je pourrais essayer de rechercher les appels dans Wireshark, mais je ne suis pas sûr que cela restreindrait le processus qui le déclenche réellement.
Aucun service, mappage de lecteur ou tâche planifiée n'utilise ce compte de domaine non plus - il doit donc y avoir quelque chose dans lequel les informations de domaine sont stockées. Il n'y a aucune session RDP ouverte avec ce compte de domaine sur aucun serveur (nous avons vérifié).
Notes complémentaires
Oui, les audits de connexion «réussite / échec» sont activés sur le contrôleur de domaine en question - aucun événement d'échec n'est enregistré tant que le compte n'est pas verrouillé.
Une recherche plus approfondie montre que LSASS.exe
fait un KERBEROS
appel au contrôleur de domaine en question une fois le compte déverrouillé. Il est précédé (généralement) de java qui semble être appelé par vpxd.exe
lequel est un processus vCenter. MAIS, quand je regarde les autres "server2" d'où le verrouillage de compte peut (aussi) se produire, je ne vois jamais d'appel lsass.exe
et seuls les processus apache sont en train d'apparaître. La seule relation entre les deux est que SERVER2 fait partie du cluster vSphere de SERVER1 (server1 étant un système d'exploitation vSphere).
Erreur sur DC
Donc, il semble que tout ce que AD me dira, c'est qu'il s'agit d'une erreur Kerberos de pré-authentification. J'ai vérifié et il n'y avait pas de billets klist
et j'ai quand même fait une chasse d'eau au cas où. Je n'ai toujours aucune idée de la cause de cette erreur Kerberos.
Index : 202500597
EntryType : FailureAudit
InstanceId : 4771
Message : Kerberos pre-authentication failed.
Account Information:
Security ID: S-1-5-21-3381590919-2827822839-3002869273-5848
Account Name: USER
Service Information:
Service Name: krbtgt/DOMAIN
Network Information:
Client Address: ::ffff:x.x.x.x
Client Port: 61450
Additional Information:
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Certificate information is only provided if a certificate was used for pre-authentication.
Pre-authentication types, ticket options and failure codes are defined in RFC 4120.
If the ticket was malformed or damaged during transit and could not be decrypted, then many fields
in this event might not be present.