ДС
Вот что мне кажется странным, если смотреть IP, с которых были коннекты по событию 4625 с учёткой administrator, то событий тысячи.
А если смотреть по событиям 8004, то их намного меньше.
При этом lockout.exe тоже показывает тысячи попыток
Size: a a a
2020 July 20
ВБ
Дмитрий Стародубцев
nltest /dbflag:0x2080ffff -включить логгирование nltest /dbflag:0x0 - отключить логгирование
ВБ
%windir%\debug\netlogon.log
ВБ
СМотреть здесь
ДС
nltest /dbflag:0x2080ffff -включить логгирование nltest /dbflag:0x0 - отключить логгирование
Уже сделал, это то же что и event 8004
ВБ
Дмитрий Стародубцев
Уже сделал, это то же что и event 8004
Ну и вот. Только в эластике у тебя это не появится
ВБ
4771 еще смотри. Совсем охренеешь)
ДС
4771 еще смотри. Совсем охренеешь)
Нет таких
ДС
И всё же. Как понять через какой внутренний сервер проходят запросы с внешних IP?
ВБ
Дмитрий Стародубцев
Нет таких
Логгирование не включено, тчо ли?
ВБ
Дмитрий Стародубцев
И всё же. Как понять через какой внутренний сервер проходят запросы с внешних IP?
Куда порт прокинут, туда и ломятся. Посмотри внимательно netlogon. Там эта информация будет
ДС
Куда порт прокинут, туда и ломятся. Посмотри внимательно netlogon. Там эта информация будет
Не вижу там порта. 07/20 20:30:34 [LOGON] [11128] - вот последнее число, это порт?
ДС
Логгирование не включено, тчо ли?
Да вроде все включено
ВБ
Дмитрий Стародубцев
Не вижу там порта. 07/20 20:30:34 [LOGON] [11128] - вот последнее число, это порт?
Нет. Там будет прям имя компьютера, через который ломятся. Плюс айпишник
ВБ
nltest /dbflag:0x2080ffff Вот это сделал?
ВБ
И на какой кд ломится уже знаешь?
ВБ
Иначе придется на всех проверять
ДС
nltest /dbflag:0x2080ffff Вот это сделал?
Да. Там есть некоторые имена компов, но без адресов. В графиках выше количество внешних IP тянет на 1500~, при этом в списке локальных серверов, с которых идут запросы, только один имеет доступ из внешки.
В общем получается что количество внешних адресов значительно выше, чем количество запросов от компа с доступом снаружи
В общем получается что количество внешних адресов значительно выше, чем количество запросов от компа с доступом снаружи
ДС
Или я что-то не понимаю
ДС
Наверно надо сначала разобраться хотя бы с этим сервером, про который точно всё понятно, а дальше смотреть по ситуации