Имеется КД под управлением win2k3 SBS и локальная сеть на 40 компьютеров
После смены пароля администратора домена в журнале безопасности стали появляться сообщения id 672 о неудачной авторизации администратора домена:
Запрос проверки подлинности:
Пользователь: Fuhrer
Предоставленное имя сферы: CODINFO
Код пользователя: -
Имя службы: krbtgt/CODINFO
Код службы: -
Параметры билета: 0x40810010
Код результата: 0x6
Тип шифрования билета: -
Тип предпроверки: -
Адрес клиента: 127.0.0.1
Имя издателя сертификата:
Серийный номер сертификата:
Отпечаток сертификата:

Произвели смену имени администратора домена, сообщение продолжало появляться. Выяснилось, что оно появляется при включении некоторых клиентских машин, причем еще до входа пользователя в систему. Также сообщение вызывается включением машин, которые были включены в домен уже после переименования учетной записи администратора домена. С клиентских машин к КД во время появления сообщения c ID 672 есть только DNS запрос о контроллере домена.

Как найти причину этих сообщений?

Не могли бы Вы подробнее привести описание проблемы:
- что за ПК запускаются, когда происходит появление таких событий;
- есть ли еще подозрительные события;
- не могли бы Вы привести события без купюр;
- каково было и теперь стало имя учетной записи администратора?

про машины которые были "до"... можно предположить,
если их доменные учетки еще и лок.админы (надеюсь это не так),
возможно с них когда-то, находясь в (Администратор/этот компьютер),
для подключения например к "шаре" какого-нь-ть "доменника" вводили "имя пользователя имеющего право доступа" и его пароль (старого Админа), и галочку "запомнить", -
тогда устанавливая сетевые подключения при инициализации (еще до входа пользователя в систему)
система обходя сеть, делает запрос, с данными уже не существующего пользователя (администратора),
вот вам и ошибка аутентификации.

... Но это только при условии что доменные учётки - лок.админы.
Пока это первое, что приходит на ум.

А еще очень стоит посмотреть в панели управления - назначенные задания, вполне возможно, там засели "ненужные" задачи, выполняемые от имени администратора.

QRS:
- запускаются обычные рабочие станции, событие возникает при запуске одних и тех же рабочих станций, ОС на станциях вызывающих событие: WinXp SP3, Windows7.
- других подозрительных событий замечено не было
- поясните, пожалуйста, что значит "привести события без купюр"?
- имя администратора было Fuhrer, стало Jupiter

RUVATA, учетные записи пользователей не являются администраторами на машинах. На компьютерах пользователей нет расшаренных папок и запрещено их создание. Если бы это была авторизация с рабочих станций, то в адресе клиента события ID 672 был бы ip адрес рабочей станции. Так же этот вариант не объясняет почему событие возникает также при включении новых рабочих станций

Delirium, назначенные задания были проверены в первую очередь. К сожалению забыл отписать об этом в первом посте.

назначенные задания были проверены в первую очередь »
Похоже, из-под учетки администратора домена запущена некая служба (корпоративный антивирус, к примеру, либо нечто похожее).
причем еще до входа пользователя в систему »
Это и говорит, что либо служба, либо некий скрипт исполняется при старте машины. Гляньте назначенные скрипты в групповой политике данного OU.

Похоже, из-под учетки администратора домена запущена некая служба (корпоративный антивирус, к примеру, либо нечто похожее). »

Проверил сервисы, все сервисы запущены либо от Local Service, либо Network Service, либо Локальная система.

Это и говорит, что либо служба, либо некий скрипт исполняется при старте машины. Гляньте назначенные скрипты в групповой политике данного OU. »

Службы на рабочих машинах проверил, ничего аномального. Назначенные скрипты есть, но они ведь выполняются с правами SYSTEM, а не администратора домена.

это kido

У нас сейчас все что не объяснятся "с ходу" - Kido... :yes:

codinfo, у вас какое-нь-ть активное сетевое оборудование использует "Web-интерфейс" ?
О конфигурации сети можно общее представление.

RUVATA, говорю по своему опыту. в одной конторе на кд постоянно вылетали сообщения о попытках коннекта к домену, соответственно учетка блокировалась - после прохода kidokiller все прекратилось.

О конфигурации сети можно общее представление. »

Конфигурация сети: аппаратный шлюз, управляемый свитч в качестве ядра, к ядру подключены 3 сервера и неуправляемые свитчи находящиеся в комнатах, к свитчам подключаются компьютеры. Также в сети есть несколько сетевых принтеров. У принтеров, шлюза и ядра есть веб интерфейсы. Но упоминания про "Fuhrer" на них так же не обнаружено.

это kido »

Все компьютеры своевременно обновляются, стоит антивирус. Да и симптомы не очень подходят под kido. У нас однократное сообщение в логе при старте рабочей станции, а не спам различных учеток. Тем не менее, для очистки совести, проверка с помощью kidokiller проведена. Результат отрицательный.

May be... Именно в этом случае может... но это получается, что codinfo не накатывал обновления с августа 2009, именно тогда всвязи с эпидемией Kido... MS тогда оперативно отреагировал: MS08-067, MS08-068, MS09-001

просто я уже не раз сталкивался с тем, что на Kido сваливают очень много того, на что он
даже не способен. Чуть-что - сразу KK...

здесь (http://www.securelist.com/ru/descriptions/old21782790)
можно посмотреть Kido изнутри, как он, что он и т.д.

Именно в этом случае может... но это получается, что codinfo не накатывал обновления с августа 2009, именно тогда всвязи с эпидемией Kido... »

Как я писал в предыдущем посте, у нас своевременно ставятся все обновления, как для продуктов Microsoft, так и для других приложений.
Может быть есть другие варианты, кроме kido, поиска неисправности?

Адрес клиента: 127.0.0.1 »

Адрес клиента: 127.0.0.1 » »

К сожалению, не очень понятно, что имелось ввиду.

codinfo,
То, что сам сервер к себе обращается.

Понятно, что сервер обращается сам к себе. Непонятно какая служба это делает, почему использует старый логин и пароль и как это связано со стартом рабочих станций.

есть такая приблуда Process Monitor (http://technet.microsoft.com/ru-ru/sysinternals/bb896645.aspx)
методом отсева... можно посмотреть...

Довольно муторно настраивать исключения особенно на серваке... т.к. там всего валом, ну по крайней мере у меня,
зато можно очень подробно посмотреть, что и как, вплоть до обращений к конкретным "взвешенным" библиотекам...

codinfo, Попробуйте...
Отсейте в фильтре те приложения и процессы в которых вы уверенны на 100%, остальное просканить на момент возникновения ошибки... ну и -
лог в студию!!!

Выполнил следующие действия:
Запустил procmon на сервере
Включил рабочую станцию, которая вызывает сообщения о неудачной авторизации
Удостоверился, что в логе появились новые сообщения и отключил сбор событий в procmon
Исключил из лога процессы антивируса.
Просмотрел все события начиная с 18:24:17, по 18:26:00, не обнаружил ничего подозрительного. Сообщение в логе безопасности появилось в 18:25:15,91

отсортируйте результаты по
Result
"NAME NOT FOUND"
потом смотрите в журнал время появления ошибки и сортируйте по времени
так на первый взляд
, мой глаз упал на "nsclient++" и "mad"
про "nsclient++" могу сказать, что там есть своя ini-шка... посмотрите ее...
про "mad" ничего не могу сказать
так же множество ошибок ссылается на DNS... - попробуйте убить Зоны (А) прмого промотра... они сами востановятся при подключении пользователей.
пока так...
к тому логу, что выложили время ошибки из журнала please...

ага... и еще отсортируйте лог "Show Network Activity" only
смотрите опять-же по времени и по IP компа который вызывает ошибку...
там в Path указываются обращения