Come monitorare un tentativo di logon dalla rete ad un domain controll...

lunedì 05 novembre 2012 - 11.33
Tag Elenco Tags  Windows Server 2003

borzoi Profilo | Newbie

Ho due domain controller Windows Server 2003 in replica.
Su uno di essi, ho un utente di dominio che viene continuamente bloccato.
Utilizzando LockoutStatus.exe dagli Account Lockout Tools (http://technet.microsoft.com/en-us/library/cc738772(v=ws.10).aspx) ed abilitando il logging di Netlogon.exe, sono riuscito a comprendere che ogni mezz'ora vengono effettuati due tentativi di accesso, falliti.
Presumibilmente c'è un servizio, uno script, o quant'altro, che tenta di accedere con credenziali presumibilmente obsolete (la domain policy forza il cambio della password ogni 180 giorni), ma non sono riuscito ad individuare quale servizio/script/altro sia, anche utilizzando alockout.dll, sempre dagli Account Lockout Tools (incidentalmente, crea tanti e tali problemi con lsass.exe, che non consiglio a NESSUNO di usare alockout.dll su un domain controller).
Vi è un modo per comprendere quale sia il servizio/script/altro (che, ovviamente, non viene loggato dal logging di Netlogon.exe) che effettua l'accesso ad una data ora/minuto/secondo?

pieroalampi Profilo | Expert

se il servizio viene dall'esterno e non dal server stesso puoi metterti ad osservare i pacchetti di rete per vedere chi ti arriva su
SE RITIENI CHE LA RISPOSTA SIA RISOLUTIVA CHIUDI IL POST CLICCANDO SU ACCETTA
LA PRIMA FRASE DI UN PROGRAMMATORE HELLO WORD ...... ANCHE L'ULTIMA
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?

Dopo esserti registrato potrai chiedere
aiuto sul nostro Forum oppure aiutare gli altri

Consulta le Stanze disponibili.

Registrati ora !
Copyright © dotNetHell.it 2002-2017
Running on Windows Server 2008 R2 Standard, SQL Server 2012 & ASP.NET 3.5