I den här guiden lyfter vi verkligen fram några av de möjliga orsakerna som borde orsaka inloggningsfel med Event ID som bär Windows Server 2008 r2, och föreslår sedan möjliga alternativ som du kan använda för att försöka fastställa problemet.
Godkänd: Fortect
Windows säkerhetslogghändelse-ID 4625
4625: Kontot kan inte ansluta
På den här sidan
- Beskrivning av denna tid
- Detaljer om fältjord
- Exempel
- Diskutera dessa möjligheter.
- Miniseminarier för denna upplevelse
Detta kan vara en användbar händelse eftersom de registrerar och dokumenterar varje misslyckat inloggningsförsök till den lokala datorn, oavsett inloggningstyp, människans plats eller kontodesign.
Randy’s Free Security Magazine Resources
- Gratis snabbvy av en säkerhetslogg
- Kvantitet Windows Event Sektion: Gratis Compressor Edition
- Gratis lösning för granskning av Active Directory-ändringar
- Gratis kurs: Säkerhetsloggarnas hemligheter
Beskrivning Fält i 4625
Ämne:
Godkänd: Fortect
Fortect är världens mest populära och effektiva PC-reparationsverktyg. Det litar på miljontals människor för att hålla sina system igång snabbt, smidigt och felfritt. Med sitt enkla användargränssnitt och kraftfulla skanningsmotor hittar och fixar Fortect snabbt ett brett utbud av Windows-problem – från systeminstabilitet och säkerhetsproblem till minneshantering och prestandaflaskhalsar.
Identifierar leverantören som begärde anslutningen, INTE den specifika användare som precis försökte ansluta sig. Ämnet är vanligtvis noll eller ett som hänför sig till mina underhållsprinciper och generellt värdelösa idéer. Se “Ny anslutning” för de som precis har dykt in i systemet.
- Säkerhets-ID
- Kontonamn
- Kontoadress
Användarnamn
Registrering
Det här är fantastiska rekord eftersom det berättar för kunder HUR användaren precis loggat in: För en tabell med olika inloggningskoder, se 4624 .
Konto vid anslutningsfel:
Detta indikerar en användare som försökte med inloggning och/eller misslyckades.
- SID: SID som tar emot den första posten som anslutningen upprättades. Detta är underbart tomt fält eller NULL-SID om ett giltigt medel inte beaktades – till exempel om det angivna användarnamnet absolut inte motsvarar kontots giltiga inloggning.
- Kontonamn: Kontoföretagets namn som angavs när du försökte ansluta.
- Kontodomän: domän eller, om det genereras till lokala konton, datornamn.
Felinformation:
Meddelandet förklarar varför sammankopplingen inte kunde upprättas.
- Orsak till fel: Förklaring av texten i händelse av anslutningsfel.
- Status och understatus: Hexadecimala koder ska vi förklara registreringen som orsaken till fordonet. Ibland fylls understatus i sist, ibland kanske inte. Nedan är rabatterna vi såg.
Processinformation:
- Anropsprocess-ID: Process-ID som listades som inloggad 4688 när den körbara filen ofta kördes.
- Namn på uppringarens process: Identifierar vanligtvis programmets exe som hanterade anslutningen. Detta är en kopplad till de betrodda inloggningselementen som heter 4611 .
Nätverksinformation:
Den här sektionen vet var den specifika personen var när han registrerade sig. Om anslutningen startas från samma dator kommer denna information givetvis antingen vara tom eller återspegla de flesta av respektive lokala datorer.
- Arbetsplatsnamn: namnet på datorn, särskilt användaren, är fysiskt närvarande i fullständiga fall, såvida inte denna anslutning initierades av denna serverapplikation som agerar på uppdrag av kunden. Arbetsstationen kanske inte heller är befolkad för de flesta Kerberos-anslutningar, eftersom när det gäller drivrutinanslutningar, bryr sig Kerberos-protokollet inte riktigt om eller när det är kopplat till ett datorkonto och nu inte har en marknadsplats för att bära arbetsstationens namn i meddelandealternativen för begäran>
- Nätverkskällans adress: IP-adressen för den enhet på vilken användaren är mycket fysiskt närvarande i de flesta fall, förutom när denna specifika anslutning orsakades av en serverapplikation som stötte på användarens räkning. Om den här anslutningen kan initieras lokalt krävs ibland att IP-adressen är 127.0.0.1 istället för den faktiska lokala individuella IP-adressen. Ibland är det här fältet definitivt tomt eftersom Microsoft säger, “Nej, och kodspåret i Windows Server 2003 kan vara det.” instrumenterad med avseende på IP-adressen, så den fylls inte alltid. “
- Källport: Identifierar käll-TCP-porten som är ansluten till ett kontosaldo som sedan dess har verkat onödigt att begära eftersom källportarna för de flesta protokoll var slumpmässigt.
Detaljer om autentisering:
- Registreringsprocedur: (se 4611 )
- Autentiseringspaket: (se 4610 eller 4622 )
- Framgångsrika tjänster: Detta är för wow-världen där applikationer måste acceptera en annan form av validering från klienten och sedan utsöndra Kerberos till klientkomponenterna för att komma åt nästa resurser. Se http://msdn.microsoft.com/msdnmag/issues/03/04/SecurityBriefs/
- Paketnamn: Om denna inloggning autentiserades genom ofta NTLM-projektet (till exempel istället för Kerberos), anger ett visst fält vilken version av NTLM som kommer att användas. För säkerhet, se Nätverkssäkerhet: LAN Manager-autentiseringsnivå
- Nyckellängd: Längden på nyckeln som täcker den “säkra kanalen”. Se avsnittet Säkerhet “Domänmedlemsinställning: Optimal sessionsnyckel krävs (Windows 2000 tillsammans med högre)”. Om värdet är 0, kommer vår säkerhetsinställning “Domänmedlem: Digitalt kryptera gatuskyddad data (om möjligt)” inte att fungera.