Come monitorare un tentativo di logon dalla rete ad un domain controll...

lunedì 05 novembre 2012 - 11.33

Elenco Threads

Stanze Forum

Aggiungi ai Preferiti

Cerca nel forum

Elenco Tags Windows Server 2003

borzoi Profilo | Newbie

9 messaggi | Data Invio: lun 5 nov 2012 - 11:33

Ho due domain controller Windows Server 2003 in replica.
Su uno di essi, ho un utente di dominio che viene continuamente bloccato.
Utilizzando LockoutStatus.exe dagli Account Lockout Tools (http://technet.microsoft.com/en-us/library/cc738772(v=ws.10).aspx) ed abilitando il logging di Netlogon.exe, sono riuscito a comprendere che ogni mezz'ora vengono effettuati due tentativi di accesso, falliti.
Presumibilmente c'è un servizio, uno script, o quant'altro, che tenta di accedere con credenziali presumibilmente obsolete (la domain policy forza il cambio della password ogni 180 giorni), ma non sono riuscito ad individuare quale servizio/script/altro sia, anche utilizzando alockout.dll, sempre dagli Account Lockout Tools (incidentalmente, crea tanti e tali problemi con lsass.exe, che non consiglio a NESSUNO di usare alockout.dll su un domain controller).
Vi è un modo per comprendere quale sia il servizio/script/altro (che, ovviamente, non viene loggato dal logging di Netlogon.exe) che effettua l'accesso ad una data ora/minuto/secondo?

pieroalampi Profilo | Expert

816 messaggi | Data Invio: mar 6 nov 2012 - 10:03

se il servizio viene dall'esterno e non dal server stesso puoi metterti ad osservare i pacchetti di rete per vedere chi ti arriva su
SE RITIENI CHE LA RISPOSTA SIA RISOLUTIVA CHIUDI IL POST CLICCANDO SU ACCETTA
LA PRIMA FRASE DI UN PROGRAMMATORE HELLO WORD ...... ANCHE L'ULTIMA

Torna su

Stanze Forum

Elenco Threads

Partecipa anche tu! Registrati!

Hai bisogno di aiuto ?
Perchè non ti registri subito?

Dopo esserti registrato potrai chiedere
aiuto sul nostro Forum oppure aiutare gli altri

Consulta le Stanze disponibili.

Registrati ora !