Сообщения о неудачной авторизации на КД при запуске рабочих станций
 

Имеется КД под управлением win2k3 SBS и локальная сеть на 40 компьютеров
После смены пароля администратора домена в журнале безопасности стали появляться сообщения id 672 о неудачной авторизации администратора домена:
Произвели смену имени администратора домена, сообщение продолжало появляться. Выяснилось, что оно появляется при включении некоторых клиентских машин, причем еще до входа пользователя в систему. Также сообщение вызывается включением машин, которые были включены в домен уже после переименования учетной записи администратора домена. С клиентских машин к КД во время появления сообщения c ID 672 есть только DNS запрос о контроллере домена.

Как найти причину этих сообщений?

Не могли бы Вы подробнее привести описание проблемы:
- что за ПК запускаются, когда происходит появление таких событий;
- есть ли еще подозрительные события;
- не могли бы Вы привести события без купюр;
- каково было и теперь стало имя учетной записи администратора?

про машины которые были "до"... можно предположить,
если их доменные учетки еще и лок.админы (надеюсь это не так),
возможно с них когда-то, находясь в (Администратор/этот компьютер),
для подключения например к "шаре" какого-нь-ть "доменника" вводили "имя пользователя имеющего право доступа" и его пароль (старого Админа), и галочку "запомнить", -
тогда устанавливая сетевые подключения при инициализации (еще до входа пользователя в систему)
система обходя сеть, делает запрос, с данными уже не существующего пользователя (администратора),
вот вам и ошибка аутентификации.

... Но это только при условии что доменные учётки - лок.админы.
Пока это первое, что приходит на ум.

А еще очень стоит посмотреть в панели управления - назначенные задания, вполне возможно, там засели "ненужные" задачи, выполняемые от имени администратора.

QRS:
- запускаются обычные рабочие станции, событие возникает при запуске одних и тех же рабочих станций, ОС на станциях вызывающих событие: WinXp SP3, Windows7.
- других подозрительных событий замечено не было
- поясните, пожалуйста, что значит "привести события без купюр"?
- имя администратора было Fuhrer, стало Jupiter

RUVATA, учетные записи пользователей не являются администраторами на машинах. На компьютерах пользователей нет расшаренных папок и запрещено их создание. Если бы это была авторизация с рабочих станций, то в адресе клиента события ID 672 был бы ip адрес рабочей станции. Так же этот вариант не объясняет почему событие возникает также при включении новых рабочих станций

Delirium, назначенные задания были проверены в первую очередь. К сожалению забыл отписать об этом в первом посте.

Похоже, из-под учетки администратора домена запущена некая служба (корпоративный антивирус, к примеру, либо нечто похожее).
Это и говорит, что либо служба, либо некий скрипт исполняется при старте машины. Гляньте назначенные скрипты в групповой политике данного OU.

Проверил сервисы, все сервисы запущены либо от Local Service, либо Network Service, либо Локальная система.

Службы на рабочих машинах проверил, ничего аномального. Назначенные скрипты есть, но они ведь выполняются с правами SYSTEM, а не администратора домена.

это kido

У нас сейчас все что не объяснятся "с ходу" - Kido... :yes:

codinfo, у вас какое-нь-ть активное сетевое оборудование использует "Web-интерфейс" ?
О конфигурации сети можно общее представление.

RUVATA, говорю по своему опыту. в одной конторе на кд постоянно вылетали сообщения о попытках коннекта к домену, соответственно учетка блокировалась - после прохода kidokiller все прекратилось.

Конфигурация сети: аппаратный шлюз, управляемый свитч в качестве ядра, к ядру подключены 3 сервера и неуправляемые свитчи находящиеся в комнатах, к свитчам подключаются компьютеры. Также в сети есть несколько сетевых принтеров. У принтеров, шлюза и ядра есть веб интерфейсы. Но упоминания про "Fuhrer" на них так же не обнаружено.

Все компьютеры своевременно обновляются, стоит антивирус. Да и симптомы не очень подходят под kido. У нас однократное сообщение в логе при старте рабочей станции, а не спам различных учеток. Тем не менее, для очистки совести, проверка с помощью kidokiller проведена. Результат отрицательный.

May be... Именно в этом случае может... но это получается, что codinfo не накатывал обновления с августа 2009, именно тогда всвязи с эпидемией Kido... MS тогда оперативно отреагировал: MS08-067, MS08-068, MS09-001

просто я уже не раз сталкивался с тем, что на Kido сваливают очень много того, на что он
даже не способен. Чуть-что - сразу KK...

здесь
можно посмотреть Kido изнутри, как он, что он и т.д.

Как я писал в предыдущем посте, у нас своевременно ставятся все обновления, как для продуктов Microsoft, так и для других приложений.
Может быть есть другие варианты, кроме kido, поиска неисправности?

К сожалению, не очень понятно, что имелось ввиду.

codinfo,
То, что сам сервер к себе обращается.

Понятно, что сервер обращается сам к себе. Непонятно какая служба это делает, почему использует старый логин и пароль и как это связано со стартом рабочих станций.

есть такая приблуда Process Monitor
методом отсева... можно посмотреть...

Довольно муторно настраивать исключения особенно на серваке... т.к. там всего валом, ну по крайней мере у меня,
зато можно очень подробно посмотреть, что и как, вплоть до обращений к конкретным "взвешенным" библиотекам...

codinfo, Попробуйте...
Отсейте в фильтре те приложения и процессы в которых вы уверенны на 100%, остальное просканить на момент возникновения ошибки... ну и -
лог в студию!!!

Выполнил следующие действия:
Запустил procmon на сервере
Включил рабочую станцию, которая вызывает сообщения о неудачной авторизации
Удостоверился, что в логе появились новые сообщения и отключил сбор событий в procmon
Исключил из лога процессы антивируса.
Просмотрел все события начиная с 18:24:17, по 18:26:00, не обнаружил ничего подозрительного. Сообщение в логе безопасности появилось в 18:25:15,91

отсортируйте результаты по
Result
"NAME NOT FOUND"
потом смотрите в журнал время появления ошибки и сортируйте по времени
так на первый взляд
, мой глаз упал на "nsclient++" и "mad"
про "nsclient++" могу сказать, что там есть своя ini-шка... посмотрите ее...
про "mad" ничего не могу сказать
так же множество ошибок ссылается на DNS... - попробуйте убить Зоны (А) прмого промотра... они сами востановятся при подключении пользователей.
пока так...
к тому логу, что выложили время ошибки из журнала please...

ага... и еще отсортируйте лог "Show Network Activity" only
смотрите опять-же по времени и по IP компа который вызывает ошибку...
там в Path указываются обращения

И еще раз проидитесь по групповым политикам, особенно по настройкам Kerberos

так как ваша проблемма однозначно связанна с запросом TGT...

Проверил еще раз все пункты что вы указали, почистил A записи из прямого просмотра. Ничего не изменилось
Show Network Activity - во время появления сообщения в логе безопасности никаких обращений от целевого хоста нет.
Время сообщения в логе безопасности 18:25:15. Имя хоста - dergunov.
Также проверил политики на предмет настроек kerberos. Kerberos настраивается только в политике Default Domain Policy, политика не менялась.

Пробовал выводить проблемный компьютер из домена. Оказалось, что при его включении, когда он не находится в домене, на сервере все равно генерируются сообщения о неудачной авторизации.

Даже не знаю куда копать дальше.

Сляпайте списочек сетевого софта... по ти по "nsclient++" и "mad"...
что еще есть такого на серваке?...
Это может быть прога, которая устанавливалась еще при старом админе... и что-то крутит от его лица...
А терь уже пытается крутить... но так сказать ужо нечем :)
Скажите, а вы созавали новую учетку админа или меняли старую... А может это вобще учетка лок.админа КД?
очень может помочь - ее убить и создать новую... геморойно это только если политика строилась по конкретному пользователю а не по его группе.

Спасибо за помощь. Проблема решилась, все дело было в DHCP cервере, который для обновления записей на DNS сервере использовал старые учетные данные.