我们有一个域帐户被 2 个服务器中的 1 个锁定。内置审计只告诉我们这么多(从 SERVER1、SERVER2 锁定)。
该帐户在 5 分钟内被锁定,似乎每分钟大约 1 个请求。
我最初尝试运行 procmon(来自 sysinternals)以查看在我解锁帐户后是否产生了任何新的 PROCESS START。没有任何可疑的东西出现。我的工作站上运行procmon中并提升到一个UAC外壳(conscent.exe)之后,它似乎是从堆栈中ntdll.dll和rpct4.dll当您试图权威性针对AD(不知道)被调用。
有没有办法缩小哪个进程向我们的 DC 发出身份验证请求?它总是同一个 DC,所以我们知道它必须是该站点中的服务器。我可以尝试在wireshark中查找调用,但我不确定这会缩小哪个进程实际触发它的范围。
也没有服务、驱动器映射或计划任务在使用该域帐户——因此它必须是存储了域凭据的东西。在任何服务器上都没有与该域帐户打开的 RDP 会话(我们检查过)。
是的,在有问题的 DC 上启用了“成功/失败”登录审核——在帐户实际被锁定之前不会记录任何失败事件。
进一步挖掘表明,一旦帐户被解锁,LSASS.exe就会KERBEROS调用有问题的 DC。它前面(通常)是java,它似乎vpxd.exe被一个vCenter进程调用。但是,当我查看另一个“server2”是否会(也)发生帐户锁定时,我从未看到调用lsass.exe并且只生成了 apache 进程。两者唯一的关系是 SERVER2 是 SERVER1 的 vSphere 集群的一部分(server1 是一个 vSphere 操作系统)。
因此,AD 似乎只告诉我这是一个预认证的 Kerberos 错误。我查了一下,没有票,klist无论如何还是冲了个水,以防万一。仍然不知道是什么导致了这个 kerberos 错误。
Index : 202500597
EntryType : FailureAudit
InstanceId : 4771
Message : Kerberos pre-authentication failed.
Account Information:
Security …