Event ID 680
 

Проблема состоит в следующем:
журнал событий периодически регистрирует сообщения с Event ID 680:

Failure Audit

Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon account: <username>
Source Workstation: <computer name>
Error Code: 0xC0000064

причем в качестве <computer name> выступают различные компьютеры в сети

В чем может быть причина рассылки (и соответственно регистрации) подобных
пакетов? Это вирус или Виндоуз сама проделывает подобные трюки (Если да то что м.б причиной)?

altrbrut
Ну так это же вроде код ошибки подключения через модем?

Microsoft пишет что это событие регистрируется при неудачной попытке входа с именем <username> c машины <computer name>. Код
Error Code: 0xC0000064 как раз это и подтверждает
Меня интересует почему подобные попытки входа происходят: либо это нормальное поведение виндоуз, либо какой-то вирус (который на машине <computer name> ) пытается зарегистрироваться в системе (хотя такой вариант мне кажется маловероятным)

ЗЫ Машины на которых регистрируются подобные события находятся в сети за firewall'ом и к ним никакие модемы не подключены
<computer name> во всех событиях представяет собой имя машины во внутренней сети и <username> также известны, т.е существуют
ЗЫ Кстати машины на которых регистрируются события в домене а те которые пытаются на них зарегистр-ся в рабочей группе (большинство)...

Эти сообщения идут в логе безопастности (Security)?
Вполне нормальное явление, работа с шарами под гостевым аккаунтом в рабочей группе, а события возникают в следствии что удаленный комп сначала пытается войти под именем текущего (на нем) пользователя, а т.к. на локальном компе такого пользователя с таким-же паролем нет - он отказывает в доступе, о чем и пишет в лог, второй попыткой удаленный комп входит гостем, и если он не запрещен - он попадает на шары.
М\у доменными машинами такого нет, т.к. все пользователи в Active Directory, и они на все компы в домене будут ходить под своими именами.

p.s. такие же сообщения относительно локального компа и локального пользователя возникают если используется экран приветствия - для определения наличия пароля для пользователя сначала производится попытка входа с пустым паролем, и в случае отказа на экране приветствия выводится приглашение ввести пароль

Да сообщения в логе безопасности.
Я согласен именно что так все и происходит, но смущает то, что с одной из зарегистрированных ( логе) машин никаких
попыток входа на машину, где сообщения зарегистрированы, не было (в том числе использование шар)

PS. Хотя может быть все дело в таком сервисе как Computer Browser?..

altrbrut,
нет, никакой авторизации при этом нет.

как вариант - при просмотре раб. группы на предмет обзора шареных принтеров (при их установке), они ищутся по всем машинам.

Спасибо
я убедился что ничего противозаконного в этих сообщениях нет